ISO27001で言うリスクとは？

ISO27001で言うリスクとは、簡単に言えば、少なくとも「機密性」「完全性」「可用性」という3つの特性を損なう危険性のことです。

例えば、

他にも、身近な例としては、

1. タクシーの中で秘密情報を話してしまう
2. 人ごみの中、電話で秘密情報を話してしまう
3. 混雑した電車の中で業務メールをやり取りしてしまう
4. SNSで仕事の内容に触れてしまう

等、いずれも「うっかり」であったり「善意（やってはいけないことだと気付かず）」であったりする行為も危険な行為であります。

ISO27001（ISMS）のリスクアセスメントとは？

繰り返しますがリスクアセスメントとは、リスクマネジメントの一つであり、

• 組織の情報資産に対するリスクを明確にする [リスク特定]
• 特定したリスクの大きさを算定する [リスク分析]
• 算定したリスクが組織にどれだけの影響を与えるかを判断する [リスク評価]

を行うことをいいます。

ISO27001の規格要求では、リスクアセスメントのプロセスを「この方法で実施しなさい」など具体的なことは定めておりません。

リスクアセスメントの方法として、対象となる情報資産毎に評価を行う古典的な方法や、起こり得るリスクのシナリオを作成し、そのシナリオを基準としてリスクの有無を評価する方法（シナリオアプローチ）などがあります。

※シナリオアプローチとは･･･例えば、誰もいない会社に侵入者が出た時に、どんなリスクが起こるかをいくつか想定し、誰がどんなことをすればいいのかを分析する手法

どの方法であっても、ISO27001の規格要求事項を満たしていれば審査は通ります。

他にもリスクアセスメントの手法はありますので、事業の規模や組織の要求を加味して支援いたします。

ただし、リスクアセスメントの仕組みには運用負荷が発生するため、負荷が重すぎるために運用しきれず見直しが必要な会社様が散見されます。このアセスメントが色々な要求事項に影響しますので見直しが大切となります。

認証取得後によく指摘されること

認証を取得した後に定期的に審査を受けますが、審査を繰り返すとリスクアセスメントの内容がマンネリ化してくることがあります。

すると審査員から、「このままでは、これ以上新しいリスクを発見することは難しいのでは？」という指摘が出やすくなります。

新しいリスクの発見には、「変化をとらえる」ということが大切です。人的な変化であったり、物理的な設備面での変化であったり、業務フローの変化であったり、組織によってそれらの変化があるはずですので、それをとらえることが大切です。