ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

ISO/IEC 27001:2013 用語の定義にみる「リスクマネジメント」

07.03.2014
ISMS解説資料.  11,448 views

ISO/IEC 27001:2013 用語の定義にみる「リスクマネジメント」

ISO/IEC 27001:2013 の「6.1.3 情報セキュリティリスク対応」の「注記」にもあるように、ISO/IEC 27001の情報セキュリティリスクアセスメント及びリスク対応のプロセスは、ISO 31000に規定する原則及び一般的な指針と整合しています。
よって、ISO/IEC 27001 のリスクマネジメントを考える際は、ISO 31000のプロセスも考慮に入れる必要があります。

「リスク(risk)」は、「目的に対する不確かさの影響。(ISO 0073:2010 の1.1 参照)」と定義されています。
この場合の“目的”は、“情報セキュリティ目的”として設定したものであります。したがって、情報セキュリティリスクアセスメント及び情報セキュリティリスク対応は、“情報セキュリティ目的”に対して実施することを要求しています。

「不確かさ」とは何か?
この「不確かさ」には、プラスもあればマイナスもあるという考え方があります。
これは、ISO/IEC Guide73(リスクマネジメント用語規格)で、リスクの概念としてISO/IEC Guide 51(安全側面-規格への導入指針)と同様の好ましくない影響だけを考えるとされていたが、2009年に検討が加えられ、安全分野への特記はなくなり、危険等の好ましくない影響をものだけをリスクと限定するのでなく、好ましいものものまでも含むようになったためです。

なお、ISO/IEC 27000:2014の「リスク(2.68)」の定義内では、「注記6 情報セキュリティリスクは,脅威(2.83)が情報資産のぜい弱性(2.89)又は情報資産グループのぜい弱性(2.89)に付け込み,その結果,組織に損害を与える可能性に伴って生じる。」とあるように、情報セキュリティリスクにおいては、むしろ「好ましくない影響」をリスクとして考えられています。

「リスクアセスメント(risk assessment)」とは、「リスク特定(2.75),リスク分析(2.70)及びリスク評価(2.74)のプロセス(2.61)全体。(ISO 0073:2010 の3.4.1 参照)」と定義されています。
リスクアセスメントを分解すると以下のようになります。

リスクアセスメント = リスク特定 + リスク分析 + リスク評価

「リスク特定」の注記1には、「リスク特定には,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。」とあります。
リスク源は、ISO/IEC 27000:2014では定義がありませんが、ISO 31000によると、「その自体又はほかとの組合せによって、リスクを生じさせる力を本来潜在的にもっている要素。」とあります。

先述したように、これまでのリスクマネジメントでは、「好ましくない影響」への潜在的要因をハザード(潜在的危険要因)という用語で表してきたが、リスクの結果が好ましい影響も含まれるようになったため、「リスク源」と変わったものです。
以前の「リスク因子」と同じ、「脅威」や「脆弱性」と内容は同じと考えられます。