４．２．１c)　(リスクアセスメント概要)

　リスクアセスメントのやり方は、一つの考え方に沿って、矛盾がない様に決めておいて下さい。

１）　そのリスクアセスメントのやり方は、次の３つにふさわしくなる様に決めて下さい。
　　・ISMS全体
　　・仕事上、セキュリティを保たなければならない事柄
　　・法律がある事などで、セキュリティを保たなければならない事柄

２）　情報セキュリティリスクが「ここまでやってあれば、これ以上は仕方がない[受容する]」と判断する基準は、あらかじめ決めておいて下さい。つまり、「これ以上は、やっていられなくても仕方がない事にするのだ」という部分を決めておく事になります。(5.1f)にも書いてあります)

　このリスクアセスメントの方法は、過去のアセスメント結果などとうまく比較出来るとか、調べる人やちょっとした事によって結果が左右されない（再現性が良い）とかいうものでなければなりません。

　【解説】ここに書いてある事は4.2.1d)〜h)にも書かれていますから、強く意識しないでも良いで
　　しょう。他の項に書いてある事をどの様にやるか決める時に、ここに書いてある事も確認して
　　下さい。


４．２．１d)　（リスクの特定）

　会社は、どのような情報セキュリティリスクがあるのか整理して一覧できる様にして下さい。その整理をする時には、下の全部を、それぞれ整理して（一覧表などに）まとめられている様にして下さい。

　　・ISMSの適用範囲にある全部の情報資産と、情報資産ごとに何かあった場合に責任を持つ人
　　　（所有者という用語を使っていますが、所有権を問題にしているわけではありません）
　　・その情報資産に起こるかも知れない、全部の情報セキュリティ上の困った事[脅威]
　　・”困った事”が起こる時の原因、または問題点[脆弱性]の全部
　　・それぞれの”困った事”が起きた時に、機密性・完全性・可用性上どのくらい困るのかという事

　【解説】日常語ISO27001では、「リスクの特定：全部を、それぞれ整理してまとめられている様
　　にして下さい。」と書いているのですが、対訳版/旧JIPDEC規格には”識別しなければならない”
　　と書いてあります。そのため、”識別”が転じて「選別する」と表現して、「ISMSで取り扱うか
　　どうか選別する」と解釈されていることがありますが、原文では”shall identify”となっています。
　　「どの様なものが在るのか全部把握しなさい」と受け取るのが自然です。
　　　許容するのかどうかという事は、この後の「リスクアセスメント」の結果から判断されなければ
　　ならないのですから、話も合わなくなります。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則