リスクアセスメントの目的

会社が抱えているリスクを分析し、対応すべき会社の弱点を見つけるという作業です。

リスクアセスメントを有効活用できない原因

リスクアセスメントや、その結果の見直しを有効活用できない原因とは何でしょうか。
たとえば、下記のような事由が考えられます。

  • 現在のリスクアセスメントの仕組みが、自社の仕事のやり方に合った手法になっていない
  • 取り入れているリスクアセスメントの手法が複雑すぎる
  • リスクの評価基準が曖昧で評価する人によって個人差が大きく出てしまっている

会社の実態に合わせてシンプルな仕組みに改善する

リスクアセスメントの本質は、「脅威の大きさ」と「発生の可能性」を考えて、「何を対策するべきか」を明確にすることです。
また、リスクアセスメントの結果は「脅威の大きさ」「脅威が発生する可能性」「現在の対策レベル」ですので、極端な話ですが、弱点を探し出すことだけです。
その理由は脅威の大きさや発生の可能性は管理できませんし、これらを評価する目的は優先順位をつけるためだからです。
情報資産の改善となると複雑になってしまう傾向がありますので、なるべくシンプルに考えた仕事の流れに基づいたリスクアセスメントに改善していきましょう。

リスクの評価基準を見直す

評価は評価者が変わっても適切に実施でき、同様の結果が算出されることが理想です。
評価の基準が曖昧だと結果にぶれが生じてしまい、正しく評価できません。
評価を算出する際に「影響が高い:3点」「発生する可能性が高い:3点」「対策のレベル(脆弱)が高い:3点」といった評価方法だけでなく、「この基準を満たしていれば3点」などといった具体的な基準を定義したうえで評価することが望ましいでしょう。

ISMSの課題 ~リスクアセスメントの改善~

カテゴリー: リスクアセスメント

リスクアセスメントの目的

会社が抱えているリスクを分析し、対応すべき会社の弱点を見つけるという作業です。

リスクアセスメントを有効活用できない原因

リスクアセスメントや、その結果の見直しを有効活用できない原因とは何でしょうか。
たとえば、下記のような事由が考えられます。

  • 現在のリスクアセスメントの仕組みが、自社の仕事のやり方に合った手法になっていない
  • 取り入れているリスクアセスメントの手法が複雑すぎる
  • リスクの評価基準が曖昧で評価する人によって個人差が大きく出てしまっている

会社の実態に合わせてシンプルな仕組みに改善する

リスクアセスメントの本質は、「脅威の大きさ」と「発生の可能性」を考えて、「何を対策するべきか」を明確にすることです。
また、リスクアセスメントの結果は「脅威の大きさ」「脅威が発生する可能性」「現在の対策レベル」ですので、極端な話ですが、弱点を探し出すことだけです。
その理由は脅威の大きさや発生の可能性は管理できませんし、これらを評価する目的は優先順位をつけるためだからです。
情報資産の改善となると複雑になってしまう傾向がありますので、なるべくシンプルに考えた仕事の流れに基づいたリスクアセスメントに改善していきましょう。

リスクの評価基準を見直す

評価は評価者が変わっても適切に実施でき、同様の結果が算出されることが理想です。
評価の基準が曖昧だと結果にぶれが生じてしまい、正しく評価できません。
評価を算出する際に「影響が高い:3点」「発生する可能性が高い:3点」「対策のレベル(脆弱)が高い:3点」といった評価方法だけでなく、「この基準を満たしていれば3点」などといった具体的な基準を定義したうえで評価することが望ましいでしょう。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする