ISO27001における、情報セキュリティリスクの想定 - ISO・規格認証全般 - 専門家プロファイル

人見 隆之
ISOマネジメント研究所 所長
ISOコンサルタント

注目の専門家コラムランキングRSS

対象:ISO・規格認証

人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
(ISOコンサルタント)
人見 隆之
(ISOコンサルタント)

閲覧数順 2016年12月08日更新

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

ISO27001における、情報セキュリティリスクの想定

- good

  1. 法人・ビジネス
  2. ISO・規格認証
  3. ISO・規格認証全般

まず、はじめに、東日本大震災において、
被災された方々に謹んでお見舞い申し上げますとともに、
一日も早い復旧をお祈りいたします。

今回は、ISO27001(情報セキュリティマネジメント)における、
仕組み構築において、リスクの想定について、考えたいと思います。

さて、今回の震災において、想定外のことがたくさん起こりました。
原発の脅威や計画停電など、まさかこれほど大きな影響を及ぼすとは、
思ってもいなかった方は、多かったのではないでしょうか。

以前、ISOコンサルの現場において、ある社員が、この地域一帯が、
停電になったらどうするんですか、
といったら、上司は、そんなこと起こるはずないだろう、
と答えたことがありました。

想像し得ないことは、なかなかリスクとして、認識されないものですし、
また、今までの知識や経験を超えて、
リスクを想定することはかなり難しいのが実際です。

では、情報セキュリティのリスクを想定するには、
どうしたらよいでしょうか?

情報セキュリティのリスクを想定するには、
以下の3つの観点が必要です。

1.機密性(許可されたものだけが情報にアクセスできるか)
2.完全性(情報が完全及び正確であるか)
3.可用性(必要な時、必要な人が使えるか)

機密性、完全性、可用性という3つの観点に照らして、これが喪失したら、
守るべき情報は、どうなるかを、考えることがリスクの想定になります。

たとえば、顧客データという情報に対するリスクを想定するとしたら、
まず、機密性という観点で見る。そして、これが失われたら
(だれでもアクセスできるという状態)、「情報の漏えい」という
リスクが想定される。

また、完全性という観点で見ると、
これが失われたら(情報が間違っている、データが壊れているという状態)、
「情報の改ざん」というリスクが想定される。

さらに、可用性という観点で見ると、
これが失われたら(必要な時、必要な人が使えないという状態)、
「情報の紛失やシステム停止」というリスクが想定される、ということです。

そして、これらのリスクを想定して、それぞれの具体的な脅威
(不正アクセス、操作ミス、火事や地震などの災害の可能性など)
や具体的なぜい弱性(対策状況の程度)を特定していくことが
次へのステップとなります。

これ以降の詳細説明は、以下のものを用意しております。
『リスクアセスメントのやり方』ISOマネジメント研究所

※お問い合わせの方には、無料で差し上げます。

 

このコラムに類似したコラム

審査員は、自分の知っていることに関して、コメントしたくなる 人見 隆之 - ISOコンサルタント(2011/10/04 15:18)

ISO27001は情報セキュリティ対策のツール 人見 隆之 - ISOコンサルタント(2010/12/01 11:08)

情報セキュリティは、業務改善とも大いに関係してくる 人見 隆之 - ISOコンサルタント(2013/05/15 10:11)

ISO50001、正式発行 人見 隆之 - ISOコンサルタント(2011/06/29 16:03)

ISO27001(ISMS)、プライバシーマークの具体策 人見 隆之 - ISOコンサルタント(2010/12/21 10:52)