情報セキュリティ事故の危険レベルを決める
業務の整理、情報資産の洗い出し、情報資産の持つ危険性・弱点・影響の特定が終わると、次はそれぞれのリスク(危険や心配事)に対して危険度のレベルやそれらが及ぼす影響などを考えます。
これをリスク分析といいます。
リスク分析に必要となるのはリスクがあると想定した情報資産、危険性、弱点、影響などの情報です。
これらを表にしてまとめていきます。
このような手法は規格改訂があっても変わることのないテックニックなので、覚えておきましょう。
情報セキュリティ事故のレベルを考える
リスクの分析は、情報セキュリティの事件・事故が発生した場合に想定される影響のレベル、影響が及ぶ範囲・広さを基本項目として考えていきます。
例えば、「法令を違反してしまった」「顧客からのクレームや取引停止」「長期間の業務停止」「社会的な信用(評判)の失墜」「広範囲に影響が及んでしまう」などは高いレベルのリスクになり、レベルが比較的低いリスクとして「発生してもその場ですぐ解決可能な事象」「部署やチーム内で解決可能な事象」などが考えられます。
情報セキュリティ事故の発生頻度を考える
発生頻度については自社における過去の事例や世間での発生状況などから判断することができます。
自社の業務から判断する場合は、該当する業務の「発生頻度」や「手動なのかシステム化されているのか」なども判断材料になります。
自社でも他社でも起こってしまっている事件・事故は発生頻度が高いといえるでしょう。