少人数のISMS構築、リスクアセスメントを簡略化できませんか?もっと簡単な手順は?
ISMS構築で1件 ご教授いただけませんでしょうか。
リスクアセスメントの手順、御社の資料で
① 資産の機密性・完全性・可用性 評価 と重要資産の特定
② 脅威洗い出し
③ リスクグループ分析
④ ギャップ分析
⑤ 適用宣言書
の手順となっております。
私どものような少人数の組織では、かなりのボリュームになります。
要求事項を見ますと 6.計画 には あまり細かくは定義されておらず、6.1.2 c) 情報の機密性・完全性・可用性の喪失に伴うリスクを特定するために、リスクアセスメントのプロセスを特定する。
d) 現実的な起こりやすさについてアセスメントを行う。
リスクレベルを決定する。
程度の記述だと思います。
従いまして、上記の②③あたりが どうも しっくりと来ません。
かなりの力量がないと理解も難しく、もう少し簡略化された方法でも良いのではと感じます。
とは言え、具体的な方法も思い浮かばないのですが。
また、自分の会社組織に適用する管理策は 要求事項 附属書A 各管理策をすべて網羅する必要があるのでしょうか。
6.1.3 d) は 附属書Aを網羅するようにという事でしょうか。
もしそうであれば、最初から附属書Aをベースにして、自組織での対応状況(重要資産のリスク対応)を書いていけば良いのかとも思います。
リスクアセスメントが、要求事項で細かく定義されていない理由の一つとしては、組織の状況や取り扱っている情報資産によってその手法が異なってくるためです。
リスクアセスメントは、ISMSの中で最も重要な部分であるため、審査では、適切なリスクアセスメント手法によってリスクが評価されているかが、厳しく問われることになります。
組織の状況や取り扱っている情報資産によってその手法が異なるということを逆にとらえると、ご質問にあります通り、組織によっては①~⑤の手順の中で簡略化できる部分もあるかと思います。
例えば、情報資産が限られている場合は、ご質問の①~④の作業内容は簡素化されます。
また、扱っている情報資産が個人の知識や経験を利用したものの比重が大きい場合などは、専門知識や経験などによるリスクアセスメントの手法となります。
一概にどのようにすれば簡略化できるかをお伝えすることは困難かと思います。
リスクアセスメントに関しましては、JIPDECより「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応- -リスクマネジメント編-」が発行されています。
こちらがご参考になるかと思います。
プロセスベースのリスクアセスメント手法
上記ガイドでは、従来の情報資産に着目する資産ベースに加え、プロセスベースのリスクアセスメント手法も紹介されています。
プロセスベースとは、仕事(業務)の流れに沿ってリスクアセスメントを実施し、そのプロセスや活動で情報が漏れるか(機密性)、完全性が損なわれるか、使えなくなるか(可用性)および法令・規制を順守の視点で、リスクを特定します。
この手法では、情報資産に着目するのではなく、業務のプロセスに対するリスクを分析するため、➂のリスクグループ分析という情報資産をグループ化するのではなく、業務ごとに情報資産をグループ化するという工程に変わります。
なお、プロセスと直接関連しない汎用的な情報資産(例:共有ファイルサーバー全体など)に対するリスク評価が疎かになることや、業務知識とセキュリティ知識を兼ね備えた評価者が必要になります。
プロセスベースのリスク特定・資産特定の流れ
プロセスベースのリスクアセスメントは、以下の順序で進められます。
- 業務プロセスの特定と可視化
組織の主要な業務(例:受注・出荷、顧客対応、給与計算)を特定します。それらの業務のプロセスの開始から終了まで、関わるすべてのアクティビティ(ステップ)をフロー図などで明確にします。
- 各ステップでのリスク(インシデント)の特定
各アクティビティ(例:データ入力、伝送、承認)において、「データが改ざんされる」「情報が誤って送信される」「業務が停止する」といった具体的なインシデントと、それにつながる脅威・脆弱性を特定します。
- 関連する情報資産の特定
リスクが特定されたアクティビティ(ステップ)で利用され、処理され、または保管されている情報資産を特定します。
- リスク分析・評価
特定されたリスクと、それが影響を与える情報資産に基づき、リスクの発生可能性と影響度を評価し、対応の優先順位を決定します。
資産ベースが、最初に資産の特定を行うのに対して、プロセスベースは、リスクが発生する業務ステップに紐づけて、情報資産を特定することになります。
本来であれば、プロセスベースと資産ベースは、どちらかを採用するというのではなく、これらを組み合わせて利用し、より実用的なリスクアセスメントを実施することになります。
なお、当サンプル文書においても、「適用範囲資料」にて「業務フロー」を作成しており、資産及びリスクの特定に活用できるようになっています。
リスク分析の4つの手法
ガイドでは、リスク分析の手法として、以下の4つを紹介しています。
以下の1~3には、それぞれメリットとデメリットがあり、それらのデメリットを補う手法として4が紹介されており、これが一般的になっています。
2の簡易アプローチが、一番作業負担がなくできるため、良さそうですが、リスクアセスメントは、「リスクアセスメントが,一貫性及び妥当性があり,かつ, 比較可能な結果を生み出すことを確実にする。」(6.1.2 b))とあるため、個人の力量のみに頼ったこの手法のみでは、難しいでしょう。
6.1.2 情報セキュリティリスクアセスメント
b) 繰り返し実施しだ情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ, 比較可能な結果を生み出すことを確実にする。
また、次に作業負担が少ない1の基準適合型アプローチだけでは、単に管理策を導入しているかだけでなく、組織が抱えるリスクを適切に特定し、それに見合った管理策を選んでいるかが問わるため、審査で合格するのは難しいと思われます。
- ベースラインアプローチ
- 基準適合アプローチ。組織に適した標準的なセキュリティ管理策のセット(ベースライン)を定め、それに適合しているかをチェックリスト形式で確認します。
- 迅速に評価でき、基本的な管理策の網羅性を確保しやすい。
- 組織特有の固有リスクや、高度な脅威によるリスクを見落とす可能性があります。
- 非形式的アプローチ
- 簡易アプローチ。組織や担当者の経験や判断によってリスクを評価します。
- 専門家の洞察や現場の実情を反映したリスク特定が可能。
- 個人の力量のみに頼るため、一貫性・妥当性・比較可能性を確保することが難しく、この手法のみでは不十分です。重要度の低いプロセスや新しいプロセス立ち上げ時のクイックチェックに活用されます。評価の客観性に欠けます。
- 詳細リスク分析
- 定量・定性分析。資産に対し、価値、脅威、脆弱性などを識別し、リスクの発生可能性や影響度を定量的(金額、頻度)または定性的(高・中・低)に評価する最も厳密な分析手法です。
- 詳細な分析により、リスク対応の優先順位付けや費用対効果の明確化が非常にしやすい。
- 組織の存続に関わる特に重要な業務プロセスに対して、徹底的な分析を行うために活用されます。
- 組合せアプローチ
- 複合アプローチ。複数の手法を評価対象や目的に応じて適切に併用します。
- それぞれの長所・短所を相互に補完し、作業の効率化や分析精度の向上を図ります。
- 通常、この手法が用いられます。
まとめ
通常、リスクアセスメントでは、「ベースラインアプローチ」と「詳細リスク分析」を併用する「組合せアプローチ(複合アプローチ)」が用いられます。これは、それぞれの長所・短所を相互に補完し、作業の効率化と分析精度の向上を図るためです。
簡略化を求める場合でも、「複合アプローチ」を採用しつつ、「プロセスベースの手法」で作業負担を減らしたり、重要度の低いプロセスには「簡易アプローチ」を活用するなど、手法を組み合わせることで、効率化を図りつつ、要求事項を満たす一貫性・妥当性を確保することが重要になります。
なお、「組合せアプローチ」の「ベースラインアプローチ」は、初回に実施後は、定期的なレビューや規格の改訂、組織変更など、必要な範囲で実施することになるため、以降は「詳細リスク分析」または「簡易アプローチ」などがメインとなり、作業負担も軽減します。
最初は「大きな岩」を取り除くような作業で大変かもしれません。しかし、2回目以降は「砂利を整え、新しい雑草(新しい脅威及び脆弱性)を抜く」ようなイメージとなり、定期的な「手入れ」は続くと考えておくと、その後の運用がスムーズになるかと思います。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
