リスクアセスメント体系

1. 基本管理策

既に組織内にある情報セキュリティ管理策（規定化されたもの等）とISMS規格の付属書である133項目の管理策を対比させ、実施の有無および該当の有無のギャップを分析する。その結果、一部実施されている項目および実施されていない項目に関して、どのような対策を講ずるかを検討する（対策を「ギャップ分析対策表」へ記載）。これを基本管理規程とする。

2. 追加管理策

基本管理策とは別に、組織内にある全ての情報資産を洗い出し、各々の情報資産における「C：confidentiality（機密性）」と「I：integrity（完全性）」、「A：availability（可用性）」に関する調査と評価を行い、組織の情報資産を確定する（情報資産管理台帳の作成）。情報資産は、さらに保存形態や保存場所、資産の特徴などによりリスクのグループ化、リスク評価を行う。グループ別のリスク評価後、脆弱性が受容レベル以上の情報資産のみ対策を検討し、更に先の基本管理策で立てた対策で十分かを考慮し、再度対策を講じる。

3. 管理策の決定（適用宣言書）

講じられた対策の中で、最適化するもの、回避するもの、アウトソーシングなど移転するもの、とりあえず保存するものといったリスク対応を明確にする。この結果に対して経営者が承認することにより、組織としての情報資産への管理策が決定される（適用宣言書の作成）。決定された管理策は、ルール化するために各規程として明文化されることになる。

※上図は、リスクアセスメント体系の1つのモデルを示したものであります。