éîñYÅLÌã_âZL
eBz[̱ÆÅ éBÆã«©Ìͻ꾯ÅͽçáQÆÍÈçÈ¢ªAºÐð°Ý»³¹A¹QâáQð±¢ÄµÜ¤¶ÝÅ éBtÉ¢¦ÎAºÐª¶ÝµÈ¢Æã«ÉεÄÍA ÜèCðzçÈÄàæ¢Æ¢¤±ÆÉàÈéB 必要に応じて、“ベースラインアプローチ”と“詳細リスク分析”とを使い分けた“組み合わせアプローチ”を用いることが効率的であると紹介したが、どのような場合にどちらの手法を採用すればいいのであろうか? どのアプローチを採用するかは一概には決定できないが、採用の決定には、情報資産を守るために求められるセキュリティ要件に依存することは確実である。 セキュリティ要件に関しては前回触れたが、情報資産をどのように守るのかという要求事項のことで大別すると、情報資産の持つ(1)脅威・ … 一方、リスクアセスメントを実施するための基準というのは、いつどんな時にリスクアセスメントを実施するのかという意味です。年一回は実施しなければならないので、そのことを年間実施項目管理表等に記載しておく必要があります。まず、リスクアセスメントとは「リスク特定、リスク分析、及びリスク評価のプロセス全体」のことです。すなわち、リスクアセスメントを定め、適用するということは、リスク特定、分析、評価の方法を定めて、運用していかなければならないということです。リスクアセスメントを行う前に、まず「リスク基準」を確立する必要があります。実際、すべてのリスクに対処していては、会社の本業に時間を割くことができません。どれぐらいのリスクなら許容してしまうのかを決めるのが「リスク受容基準」です。第二段階は「リスク分析」です。ここでは、先に特定した個々のリスクが、どの程度のリスクレベルなのかを分析する必要があります。分析の軸になるものは2つで、「リスクが生じた場合に起こりうる結果」と「リスクの起こりやすさ」です。第三段階が「リスク評価」です。先ほど分析した結果と、先に定めたリスク受容基準とを比較し、このリスクは許容できるのか、できないのかを決定します。なお、これらのリスク管理の一連のプロセスは、文章化しておく必要があります。アセスメントの第一段階は「リスク特定」です。リスクを特定するのですが、どのようなリスクかというと、情報の機密性、完全性、可用性が失われてしまった時に伴って発生するリスクです。ここで、機密性とは、許可のないユーザーが情報にアクセスできないようにすること、完全性とは、情報が完全である、つまり、不正な改ざんなどがないこと、可用性とは、常に情報が利用可能であること、つまり、データの破壊や機器の故障などがないことを表しています。リスクの特定と同時に、そのリスクの所有者は誰なのかも特定する必要があります。この節は、タイトル通り、リスクに対する一般的な心構えが書いてあります。すなわち、「ISMSの意図した成果を達成する」、「ISMSの望ましくない影響を防止・低減する」、「継続的改善を達成する」といったことを実現するために、妨げとなってしまうような機会やリスクを発見し、対処し、その対処方法を評価しないといけないと書いてあります。しかしこれだとあまりに一般的すぎて、よくわかりません。もう少し具体的に書かれているのが、次の節です。「ISMS規格をわかりやすく解読する」シリーズの4回目は、「6.計画」の前編について見ていきたいと思います。
誤解が生じやすい主たる原因は“和訳”の問題です。リスクを説明する際原文では、 1. positive risk 2. negative riskという言葉を使用しているのですが、この「positive risk」を“好ましいリスク”とか“良い方のリスク”と表現する方がいるので、余計に混乱してしまうのです。一般に日本語で「リスク」と言うとどういうイメージを持つでしょうか。普通は良くないイメージですよね。それにも関わらず“好ましい”や“良い方”とか言われると「あれ?」と混乱してしまう。「リスク」は“良くないこと”でいいんです。も …
上記までの内容をまとめると、「情報セキュリティ計画のリスクと機会」とは、『計画達成に対してのブレ要因、計画達成のためにやっておくべきことやれることを、分析して対応できるようにしとけ』という、“当たり前”のことを言っているだけなのです。例えば、営業目標で「3カ月で1000万円の売り上げ」という目標があったとします。では、続いて情報セキュリティ計画における「機会」についてです。これも“和訳”の影響で混乱が生じています。現在のISOマネジメントシステムが経営マネジメントシステムと統合を目指している以上、必ず組み込むべき概念なのです。日本のISOは、良くも悪くも「品質」から始まりました。マネジメントと言いながら、経営より現場中心で構築され、経営層の関与が比較的薄くても審査通過優先で進んでしまったのです。計画が上ブレしたことによる様々な影響を考慮しなければいけません。「黒字倒産」というのは、この様な場合に起こります。(「たまごっち」の会社なんかもそうでしたよね。)まず、この「リスクと機会」という言葉が「計画」に対して付いていることに注目しましょう。一般に日本語で「リスク」と言うとどういうイメージを持つでしょうか。普通は良くないイメージですよね。それにも関わらず“好ましい”や“良い方”とか言われると「あれ?」と混乱してしまう。「リスク」は“良くないこと”でいいんです。もう少し正確に言うと“良くないことが起きる可能性”ですね。ISOマネジメントシステムは、ISOである前にマネジメントシステムです。経営を圧迫するような仕組みだとしたら、それは仕組み自体がおかしいのです。コンサルタント・審査機関選別の際は、十分にこの点をチェックしてみて下さい。情報セキュリティ計画における「リスク」と「機会」。これも多くのISMS解説書などで曖昧にされているところです。ここまで長々説明しましたが、実は「リスクと機会」というものは経営マネジメントでは普通に使っている言葉なんです。有価証券報告書では経営計画のリスクと機会は必ず記載すべきものです。この様に、これからのISOマネジメントシステムは、経営観点を持たないコンサルタントや審査員では妥当な指導ができません。上記の様なケースでは、「リスク」がすぐに理解出来るのではないでしょうか。メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼントまた、どう見ても間違った方向に誘導してしまっているものも見かけます。だから余計に誤解が進んでしまうのでしょう。今回はリスクと機会の考え方について、それぞれを見ていきましょう。という言葉を使用しているのですが、この「positive risk」を“好ましいリスク”とか“良い方のリスク”と表現する方がいるので、余計に混乱してしまうのです。ここまでは良いです。ですが、計画に対してのブレは「良いブレ」と「悪いブレ」がある、というからおかしくなるんです。「計画に対してのブレ」は全て良くない可能性があるんです。だからリスクなんです。まず、ここでいう「機会」は“chance”ではないことを知らねばなりません。原文では「opportunity」を使っています。SWOT分析で言う“O”です。必然的にたどり着く“機会”のことなんですね。偶然性のある“chance”ではありません。日本語ではこの両者を曖昧にして「チャンス」というカタカナ語で表記する為、誤解を受けますが、両者は本質的に違うものです。では、3カ月で1500万円を売り上げたらどうでしょう。これは万々歳ですか?...営業部員だったらそうかも知れません。ですが、“経営者”として考えた場合は、そうも言っていられないのです。誤解が生じやすい主たる原因は“和訳”の問題です。リスクを説明する際原文では、もし、コンサルタントや審査員が、この内容についてきちんと説明が出来ないとしたら、その人は経営マネジメントシステム自体を理解していないということです。一体どの様にISOマネジメントシステムと経営マネジメントシステムとの統合を図るんでしょうか。経営におけるベストプラクティスを求め、ISOマネジメントシステムを導入しているはずにも拘わらず、ISOのルールが優先され、経営効率が悪くなる事態まで発生してしまいました。ISO国際会議はその弊害を認識したからこそ、「経営マネジメントシステムとの統合」を強く訴えるようになったのです。もちろん、3カ月で達成すれば万々歳ですね。では、3カ月で700万円しか達成しなかったらどうでしょう。この場合は問題が生じる可能性があります。これが「リスク」です。何らかの対策を考えなければなりません。つまり、“計画からのブレ”は、上ブレしようが下ブレしようが良くないことが起きる可能性があるということです。だからリスクなんです。計画からブレたら“どんなことが起きるのか”、予め検討した上で何らかの対策が必要となるのです。CyberSecurity.com All Rights Reserved. の枠組みとして、「リスク分析」を実施し算定されたリスクについて「リスク評価」を行なうこ とを要求している。isms ユーザーズガイド(jip-isms111-1.0)では、リスク分析の手法と して以下の4つの手法を紹介している。 ① ベースラインアプローチ
情報セキュリティ計画における「リスク」と「機会」。これも多くのisms解説書などで曖昧にされているところです。 また、どう見ても間違った方向に誘導してしまっているものも見かけます。だから余計 … リスクアセスメント実施フロー リスクアセスメント導入と方針・目標・計画の決定 担当者の選任と推進メンバ の明確化 (1)実施体制 メンバーの 設備又は作業方法の新規採用・変更時等 (3)情報の入手 災害事例、作業手順書等を入手 リスクアセスメントを実施することにより、次のような効果が期待できます。 3)リスクアセスメントの法的位置づけ 労働安全衛生法第28条の2により、各業種では、リスクアセスメントの実施に努めなけ …