Q. リスクアセスメントの基準とは何ですか?

リスクを分析・評価するための基準です。具体的には、リスクを受容してもよいかどうかの基準や、リスクそのものの大きさをはかるための基準を指します。

規格の要求は基準を決めることだけであり、具体的に「この程度のリスクであれば受容してもよい」という言及はないので、自身で考えて決めることになります。したがって、各社各様にリスクの受容水準は異なります。

なお、一言で基準と言っても分かりにくいと思いますが、皆様普段のお仕事や生活の中で基準をもって行動されているはずです。

例えば、天気予報を見て、降水確率が〇パーセント以上なら傘を持っていきますか?その基準は、50パーセントのかたもいれば60パーセントの方もいるはずです。分野は違いますが、同様の考え方のもと、各社の情報セキュリティリスクに関する基準が異なってくるわけです。

ちなみに、天気予報の例を補足すると、上記の降水確率の例は、リスクが顕在化(リスクが現実になること)した際の影響の大きさを考慮していないので、ISO27001の要求は満たしていません。雨に降られるとどのような影響があるかを考慮する必要があります。

リスクアセスメント基準の作り方は?

規格要求上、作り方の指定はありません。基準の作り方に悩むのは、指定が無いからです。

最低限必要な要素は、前述の通り「リスクが顕在した場合の影響をはかる基準」と「リスクが顕在化する可能性をはかる基準」です。

影響をはかる基準の作り方の例を挙げると、リスクが顕在化した際(リスクが現実になったとき)にどのような影響があるかを想定し、それをランク付けして基準を設けるのが一般的な手法です。

もう少しストレートに言えば、「各組織にとって困った状況とはどのような状況なのか」を想定し、ランク付けしていくということです。例えば、「売上の大半を依存している顧客からの発注が無くなる」といった状況は、大半の組織で明らかに「困った状況」ではないでしょうか。次に、その状況が実際に「どの程度」困った状況なのかを考えてください。それがランク付けです。ランク付けができましたら、その目安にしたがって、リスクを評価していくことになります。

ただし、基準の具体性については明確に問われていないので、「大きな損害が生じる」「損害は中程度」「損害は小さい」程度の基準でも不可というわけではありません。具体性に欠けるほど再現性が低くなり(評価者によって結果にばらつきが出やすくなります)、評価に迷うことになりがちなので、その点はご注意ください。

もう一方のリスクが顕在化する可能性をはかる基準は難しいです。これも「起こりやすい」「起こりにくい」程度でもよいのですが、先ほどと同じ理由で具体性に欠けると再現性が乏しくなります。どのような例が「起こりやすい」と言えるのかを示すような工夫が必要です。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00