リスクアセスメントは情報セキュリティ対策の要です。
リスクがあるのに対策が不十分だったり、リスクがないのに対策コストをかけては対策が無意味・逆効果になってしまいます。
しかし、リスクアセスメントの手引きを見ると、いろいろ細かく書いてあって大変そう/面倒くさい・・・
そこで、本ページでは、
- 忙しい情シス/セキュリティ担当者に対して
- 最速で最低限のリスクアセスメントを行う方法
をご説明致します。
やることはたった一つだけ。
「情報資産管理台帳」を作成するだけです。
当然、これだけでは「リスク」のアセスメントにはなりません。
しかし、「情報資産管理台帳」を作成した時点で、リスクアセスメントの90%は完了したも同然です。
それにより、
- セキュリティ対策が必要なところが分かります。
- サイバー攻撃で被害が出た際に迅速に影響範囲を把握できます。
リスクアセスメントには、IPAが公開する「付録7: リスク分析シート(全7シート、99KB)」の「情報資産管理台帳」シートをご利用ください。
このシートの「業務分類」、「情報資産名称」、「利用者範囲」、「管理部署」、「媒体・保存先」、「個人情報の種類」の列のみ埋めてください。
それぞれの情報資産が持つリスクに対しては、コンサルタントの知識を借りるのが効率的です。
弊社では情報資産の数にもよりますが、3万円でリスク分析(シートの未記入部分の記入)をご提供しています。