「ISMS規格をわかりやすく解読する」シリーズの4回目は、「6.計画」の前編について見ていきたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
6.1 リスク及び機会に対処する活動
6.1.1 一般
この節は、タイトル通り、リスクに対する一般的な心構えが書いてあります。すなわち、「ISMSの意図した成果を達成する」、「ISMSの望ましくない影響を防止・低減する」、「継続的改善を達成する」といったことを実現するために、妨げとなってしまうような機会やリスクを発見し、対処し、その対処方法を評価しないといけないと書いてあります。しかしこれだとあまりに一般的すぎて、よくわかりません。もう少し具体的に書かれているのが、次の節です。
6.1.2情報セキュリティリスクアセスメント
まず、リスクアセスメントとは「リスク特定、リスク分析、及びリスク評価のプロセス全体」のことです。すなわち、リスクアセスメントを定め、適用するということは、リスク特定、分析、評価の方法を定めて、運用していかなければならないということです。
リスクアセスメントを行う前に、まず「リスク基準」を確立する必要があります。実際、すべてのリスクに対処していては、会社の本業に時間を割くことができません。どれぐらいのリスクなら許容してしまうのかを決めるのが「リスク受容基準」です。
一方、リスクアセスメントを実施するための基準というのは、いつどんな時にリスクアセスメントを実施するのかという意味です。年一回は実施しなければならないので、そのことを年間実施項目管理表等に記載しておく必要があります。
リスク管理の手順
アセスメントの第一段階は「リスク特定」です。リスクを特定するのですが、どのようなリスクかというと、情報の機密性、完全性、可用性が失われてしまった時に伴って発生するリスクです。ここで、機密性とは、許可のないユーザーが情報にアクセスできないようにすること、完全性とは、情報が完全である、つまり、不正な改ざんなどがないこと、可用性とは、常に情報が利用可能であること、つまり、データの破壊や機器の故障などがないことを表しています。リスクの特定と同時に、そのリスクの所有者は誰なのかも特定する必要があります。
第二段階は「リスク分析」です。ここでは、先に特定した個々のリスクが、どの程度のリスクレベルなのかを分析する必要があります。分析の軸になるものは2つで、「リスクが生じた場合に起こりうる結果」と「リスクの起こりやすさ」です。
第三段階が「リスク評価」です。先ほど分析した結果と、先に定めたリスク受容基準とを比較し、このリスクは許容できるのか、できないのかを決定します。なお、これらのリスク管理の一連のプロセスは、文章化しておく必要があります。