ISO27001における、情報セキュリティリスクの想定

まず、はじめに、東日本大震災において、
被災された方々に謹んでお見舞い申し上げますとともに、
一日も早い復旧をお祈りいたします。

今回は、ISO27001（情報セキュリティマネジメント）における、
仕組み構築において、リスクの想定について、考えたいと思います。

さて、今回の震災において、想定外のことがたくさん起こりました。
原発の脅威や計画停電など、まさかこれほど大きな影響を及ぼすとは、
思ってもいなかった方は、多かったのではないでしょうか。

以前、ISOコンサルの現場において、ある社員が、この地域一帯が、
停電になったらどうするんですか、
といったら、上司は、そんなこと起こるはずないだろう、
と答えたことがありました。

想像し得ないことは、なかなかリスクとして、認識されないものですし、
また、今までの知識や経験を超えて、
リスクを想定することはかなり難しいのが実際です。

では、情報セキュリティのリスクを想定するには、
どうしたらよいでしょうか？

情報セキュリティのリスクを想定するには、
以下の３つの観点が必要です。

１．機密性（許可されたものだけが情報にアクセスできるか）
２．完全性（情報が完全及び正確であるか）
３．可用性（必要な時、必要な人が使えるか）

機密性、完全性、可用性という３つの観点に照らして、これが喪失したら、
守るべき情報は、どうなるかを、考えることがリスクの想定になります。

たとえば、顧客データという情報に対するリスクを想定するとしたら、
まず、機密性という観点で見る。そして、これが失われたら
（だれでもアクセスできるという状態）、「情報の漏えい」という
リスクが想定される。

また、完全性という観点で見ると、
これが失われたら（情報が間違っている、データが壊れているという状態）、
「情報の改ざん」というリスクが想定される。

さらに、可用性という観点で見ると、
これが失われたら（必要な時、必要な人が使えないという状態）、
「情報の紛失やシステム停止」というリスクが想定される、ということです。

そして、これらのリスクを想定して、それぞれの具体的な脅威
（不正アクセス、操作ミス、火事や地震などの災害の可能性など）
や具体的なぜい弱性（対策状況の程度）を特定していくことが
次へのステップとなります。

これ以降の詳細説明は、以下のものを用意しております。
『リスクアセスメントのやり方』ISOマネジメント研究所

※お問い合わせの方には、無料で差し上げます。