ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

リスクアセスメント体系

07.14.2009 | ISMS解説資料,Pマーク解説資料.  6,782 views

1. 基本管理策

既に組織内にある情報セキュリティ管理策(規定化されたもの等)とISMS規格の付属書である133項目の管理策を対比させ、実施の有無および該当の有無のギャップを分析する。その結果、一部実施されている項目および実施されていない項目に関して、どのような対策を講ずるかを検討する(対策を「ギャップ分析対策表」へ記載)。これを基本管理規程とする。

2. 追加管理策

基本管理策とは別に、組織内にある全ての情報資産を洗い出し、各々の情報資産における「C:confidentiality(機密性)」と「I:integrity(完全性)」、「A:availability(可用性)」に関する調査と評価を行い、組織の情報資産を確定する(情報資産管理台帳の作成)。情報資産は、さらに保存形態や保存場所、資産の特徴などによりリスクのグループ化、リスク評価を行う。グループ別のリスク評価後、脆弱性が受容レベル以上の情報資産のみ対策を検討し、更に先の基本管理策で立てた対策で十分かを考慮し、再度対策を講じる。

3. 管理策の決定(適用宣言書)

講じられた対策の中で、最適化するもの、回避するもの、アウトソーシングなど移転するもの、とりあえず保存するものといったリスク対応を明確にする。この結果に対して経営者が承認することにより、組織としての情報資産への管理策が決定される(適用宣言書の作成)。決定された管理策は、ルール化するために各規程として明文化されることになる。

※上図は、リスクアセスメント体系の1つのモデルを示したものであります。