「情報セキュリティ整備の核はリスクアセスメントである」と言われます。
幾多の企業で、セキュリティポリシー等の規定類は誰からも読まれることはなく、無駄なセキュリティ対策で多額のコストを浪費したり、肝心の対策が疎かなために情報漏洩事故が起きています。
このような問題はリスクアセスメントが不十分なために発生しています。
リスクアセスメントの流れ
(情報セキュリティ)リスクアセスメントでは、まずは対象となる「情報」を明確にします。
・どんな情報を保有しているか、どこに、どのような方法で保管しているか、確認する
・保有している情報の価値(漏洩、消失した場合の損害)を確認する
通常は、「情報資産管理台帳」と呼ばれる一覧表にまとめます。
これを基に、リスクを確認、評価します。
・情報ライフサイクル(取得、管理、利用、廃棄など)の各局面でどのようなリスクがあるか、確認する
・リスクの発生確率を検討する
以上がリスクアセスメントです。
アセスメントの結果を基に、リスクに対する対策を検討します。
それぞれのリスクの大きさや、対策コスト、などを基に優先順位をつけ、対策の実施の計画を立案します。
参考資料
NIST(National Institute of Standards and Technology, U.S. Department of Commerce)
情報セキュリティ リスクアセスメントの実施の手引き
IPA
中小企業の情報セキュリティ対策ガイドライン
※ 付録7 リスク分析シート