ISO27001 では、情報セキュリティ上のリスクを特定、分析し、評価することが求められます。これら一連の流れのことをリスクアセスメントと呼ぶのですが、組織が持つ情報セキュリティリスクは数え切れないほど存在しています。――しかし、これら全てのリスクに対応することをISO 27001は求めているわけではありません。 リスク基準 と呼ばれるものを設定し、この基準をもとにリスクアセスメントを行うのか、あるいはリスクを受容するのかということを決定することになります。

では、このリスク基準はどのように設定すれば良いのでしょうか? 今回は、ISO27001におけるリスク基準についてご紹介していきましょう。

リスク基準とは

リスク基準とは、情報セキュリティ上のリスクの重大性を評価するための目安となる条件のことを言います。ISO27001内で登場する用語などを取りまとめたJIS Q 27000では、リスク基準について以下のように記述されています。

注記1 リスク基準は,組織の目的,外部状況(3.22)及び内部状況(3.38)に基づいたものである。
注記2 リスク基準は,規格 ,法律,方針(3.53)及びその他の要求事項(3.56)から導き出されることがある。
JIS Q 27000

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

なぜリスク基準を設定する必要があるのか

そもそもですが、組織にはどのようなリスクがあるのでしょうか? 例えば情報セキュリティの三大要素というものがありますが、これら機密性可用性完全性 を脅かす可能性があるもののことを情報セキュリティリスクと呼びます。

例えば以下のようなリスクは、どのような事業者であっても持っていることでしょう。

機密性を損なうリスク

  • メールを誤って送信してしまう
  • マルウェアの感染によって顧客情報が流出してしまう

可用性を損なうリスク

  • サーバーダウンによってデータベースにアクセスできなくなる
  • Dos攻撃などによってサーバーの遅延が引き起こされる

完全性を損なうリスク

  • ネットワーク内部に潜入されてしまい、データベースを改ざんされる
  • 入力ミスによって誤った情報をストレージしてしまう

組織には外部攻撃によるリスクだけでなく、内部の人間の悪意を持った行動やちょっとしたミスによって発生しえるリスクも存在するのです。極端な話ですが、「従業員がプライベートの電話で仕事の愚痴をこぼしてしまう」なんてことも情報セキュリティ上のリスクであると言えるでしょう。

しかし、そのような「緊急性の低いリスク」についても対応していては、本来防がなければならないリスクの対応が遅れてしまうかもしれません。――このため、リスク基準というものを設け、その基準に従って、「あるリスクに対してどのような対応を行うのか」ということを合理的に判断できるようにしておくことがISO27001では求められるのです。そのリスクに対して対策を行うのか、あるいはリスクを受け入れ、リスクを保持するのか(リスク受容)ということを決定する基準が必要となるのです。

リスク基準をどのように設定するのか

では、このリスク基準はどのように設定すれば良いのでしょうか。リスク基準を決定する際には、以下のようなことを考慮すると良いでしょう。

組織が順守する必要がある事項

例えば法令や条令などによって定められた、企業が保護しなければならない情報に関しては、第一に考えるべきことでしょう。日本では個人情報保護法が代表的な情報セキュリティ関連の法令となります。個人情報保護法では、組織がどのような情報を守る必要があるのかということを一度整理してみましょう。

顧客要求

次に考慮すべきは、顧客が組織に対してどの程度のレベルのセキュリティを求めているのかということです。ISO27001の初期構築段階では、組織の内外の課題を整理することになると思いますが、こういった文書を参考にしてみると良いでしょう。

利害関係者の要求

顧客の要求と同様に利害関係者の要求についても考慮すべきことでしょう。

組織が被る損害

ある基準のリスクによって、組織がどの程度の損失が被るかも、当然考慮すべき事項です。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

今回は、ISO27001におけるリスク基準についてご紹介してきました。リスク基準はそのマネジメントシステムが適用される組織によって異なると思います。「顧客は、従業員は、取引先はどのような要求をしているか」ということについて検討してみましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ