【図解】ISO/IEC 27001リスクアセスメントの進め方|組合せアプローチによる効率的な手順
リスクアセスメントは、情報セキュリティマネジメントシステム(ISMS)において核心となる部分です。
この図(下図)は、リスクアセスメント体系の1つのモデルを示したものです。
このモデルは、「ベースライン・アプローチ」と「詳細リスク分析」を融合させた「組合せアプローチ」を採用しています。
標準的な対策をスピーディーに導入しつつ、重要な資産には、深い分析を行うことで、効率的かつ強固な体制を構築できます。
※画像クリックでpdf表示
1. 土台となる「基本管理策」の策定
組織全体に適用すべき標準的なセキュリティレベルを底上げします。
既存の社内規程や実施済みの対策を、 ISO/IEC 27001 (JIS Q 27001) 附属書Aの管理策と照らし合わせ、実施の有無および該当の有無のギャップを分析します。
その結果、「一部実施されている項目」および「実施されていない項目」に関して、どのような対策を講ずるかを検討して、「ギャップ分析対策表」にまとめます。これを「基本管理策」とします。
2. 資産ごとの「追加管理策」の検討
基本管理策とは別に、各資産が抱える固有の脅威に対して、より深い分析を行います。
組織内の全資産を「情報資産台帳」に洗い出し、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability) の3つの観点から価値を評価します。
リストアップされた資産を、属性や重要度が似ているものでグループ化し、評価の平準化を図ります。これにより、効率的な管理を可能になります。
これとは別に、資産に損失を与える要因(脅威)を洗い出します。これは、ISO/IEC 27001:2023に基づき、脅威インテリジェンス(外部情報の収集・分析)を構築することにもなります。
洗い出した脅威と脆弱性、資産価値をもとに、資産のリスク値を算出し、受容レベルを決定します。
受容レベル以上の資産のみ対策を検討します。「基本管理策」だけでは不足がある場合には、さらなる対応を講じ、決定します。
- 対応方法の選択
リスクに対して「回避・低減・移転・保有」のいずれかを選択します 。 - 追加管理策の策定
基本管理策ではカバーしきれないリスクに対し、個別の「追加管理策」を決定します 。 - 残留リスクの承認
リスク対策を実施した後も残るリスクに対して、把握し受容します。
3. 管理策の文書化
講じられた全ての対策を明確にし、組織としての意思決定を行います。
決定した対策をルールとして明文化し、社内規程書として組織に浸透させます。
また、附属書Aの管理策と比較し、必要な対策が見落とされていないかを検証した上で、自社がどの管理策を採用するかを「適用宣言書」として作成します。
必要に応じて、対策の具体的な実施スケジュールを「リスク対応計画書」などに策定します。
まとめ
この体系は、ベースラインによる「見落としのない網羅性」と、詳細リスク分析による「資産に応じた柔軟性」を両立させています。これにより、規格準拠と実効性の高いリスク管理を同時に実現する、実践的なモデルとなっています。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
