４．２．１e)　(リスクアセスメント)

　リスクアセスメントは次の様なやり方で行って下さい。

１）セキュリティ上の問題が実際に起こった場合の、事業に対する損害の程度を見積もる。
　機密性や、完全性、可用性が保たれなくなることが、どの様なことになるか予想して、その予想結果から考えて下さい。

２）セキュリティ上の問題が実際に起こる可能性を見積もる。
　これは　・どんどん増している危険
　　　　　　・情報資産が持っている弱点
　　　　　　・情報資産を狙う側から見たメリット
　　　　　　・今既にやっているセキュリティ対策　　　の４点を考えて見積もって下さい。

３）上の１）と２）の結果から、リスクのレベルを（何段階かのうちの何段目かを）決めて下さい。

４）4.2.1c)で決めておいた「ここまでやってあれば、これ以上は仕方がない」と判断する基準と比較してみて、それぞれのリスクを「”許容”する」のか「何か手だてを用意する」のか判断して下さい。

　【解説】多くの場合は、１）(リスクの重大性)と、２）（リスク発生の可能性）をそれぞれ３〜10段階
　　評価して、その２つをかけ算して、出た答えを３〜５段階に整理します。
　　そして、一番低い評価になったものだけを、”許容”することになるケースが多いです。


４．２．１f)　（リスク対応策の選択）

　上の4.2.1e)で、「対応して何かする」と判断したリスクについて、どの様な対応をするか決めて下さい。「対応」には、例えば次の様な対応が考えられます。

　　・何かの「管理」を行う。
　　・リスクを「回避」する。（絶対に、問題が起こらない様にしてしまう事）
　　・リスクを「移転」して、保険を掛けたり、出入りの業者さんと損害賠償契約を結んだりする。

　もう一つの選択が、
　　・リスクを「許容」する事になります。

　但し、会社のセキュリティポリシーと4.2.1c)で決めた”基準”に合っている場合にだけ、「リスクはあるけれども、これは”仕方がない”事にして許容するのだ。」という事を意識して、「許容」して下さい。
　　
　【解説】「リスクを回避する」というのは、例えば、フロッピーディスクを踏みつけてしまうという
　　リスクに対して、フロッピーディスクを使用禁止にしてしまうとか、ノートPCが盗まれて、中の
　　情報が漏洩するというリスクに対して、ノートPCに秘密情報は保存せず、常にサーバーに
　　置いて利用する事にする。という様な事が考えられるでしょう。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則