【情セキ.011】リスクマネジメント

　佐藤@IT雑貨屋です。
　情報セキュリティマネジメントの本筋は、組織として大事な情報資産を守る事です。その為に情報資産のリスク評価を行い、リスク低減を行い、場合によってはリスク移転など、必要い応じた対策を講じなければなりません。その為にリスクマネジメントはとても重要な事項です。私が以前に関わって来た情報セキュリティマネジメントでは、このリスクマネジメントに多くの労力を掛けていました。

◆情報資産の調査と分類
　情報資産のリスクマネジメントの始めるには、まず組織内にどの様な情報資産があるのかを調査し、それを分類しておく必要があります。この調査結果により情報資産は情報資産台帳にまとめていく作業を行います。

①情報資産の調査
　始めにISMSの適用範囲内で用いられている情報資産について調査を行います。適用範囲にある部門ごとに従業員などへのヒアリング、また現場での状況確認などを行い、情報資産を盛れなく洗い出しをしなくてはいけません。またこの際、過去に情報セキュリティインシデント（事件や事故等）があった場合にあ、それによる被害金額や対策費用などをも掌握し、後の分析の際の検討材料にする必要があります。

②情報資産の分類と管理
　洗い出しをした情報資産の分析を行いますが、効率化を考えるとグループ分け出来るものはグループ分けして分類した方が、後の作業の効率化を図れますので、ここで分類化を行います。この分類ですが、情報の持つ内容や性質、媒体、保管状態等によって行う事が一般的です。

➂情報資産管理台帳の作成
　情報資産とその性質や媒体、保管状態などで分類されたグループでまとめたものを、情報資産管理台帳と言います。情報資産管理台帳には、洗い出した情報資産を盛れなく記録するあめでなく、適宜適切に更新できる様式を検討した方が良いでしょう。一般的にはEXCEL等を利用して表形式で管理していたりします。

◆情報資産のリスク
　前の章にも書きましたが、リスクとは発生した場合に、情報資産に与える様な事象を指します。ここれは財産的な視点だけではなく、組織の信用や人に対する人的損失など様々なリスクが存在します。

①リスクとは
　リスクとは、まだ発生していない事ですが、もしそれが発生した場合に、情報資産に影響を与える事象や状態の事を指します。既に発生した場合には、リスクではなく問題として処理します。まだ発生していない、発生するかもしれないという不確実な事をリスクとして洗い出しをします。具体的には情報資産の漏洩や損失、破損などをを指します。

②リスク源
　リスクにはリスク源（リスクソース）というのが存在します。これはリスクを発生させる力を持つ要素の事を言います。これを除去する事が重要なリスク対策となるのです。

➂リスク所有者
　情報資産のリスクを洗い出しする際、そのリスクの所有者も決めておく必要があります。このリスク所有者とは、そのリスク管理に権限を持つ人の事で、一般的には情報資産の運用管理者等が該当します。

④リスクの種類
　情報資産のリスクには様々な種類がありますが、代表的なものとして以下の事があります。
　・財産損失：組織の財産を失うリスク
　・収入減少：組織の信用を失い、収入が減少するリスク
　・責任損失：製造物責任、知的財産侵害などで賠償責任を負うリスク
　・人的損失：疾病や事故、災害による従業員に影響を与えるリスク
　その他にもサプライチェーンに関連するリスクや外部サービスを利用するリスクなどもありますが、組織の事業や適用範囲にあるリスクについては、この段階で明確化しておく方が良いでしょう。

◆リスクの定量化
　リスクは、その重大性を判断するために金額などで定量化する必要があります。リスクの定量化の手法は様々ありますが、年間予想損失額の算出や、採点法による算出などが考えられます。