ISMSにおいて「情報セキュリティリスク」はどのように処理されていくかの全体像を説明します。
大きく以下の3ステップになります。
ステップ1:情報資産の洗い出し
ISMSで守らなければいけない対象となる情報資産を洗い出します。情報資産とは、情報そのもの、ソフトウェア、ハードウェア、ネットワーク、施設(拠点)、組織を指します。
情報そのものについては、あわせて機密分類、管理責任者、保管期間を設定します。
詳細については、情報資産のページを確認してください。
ステップ2:リスクアセスメント
洗い出された情報資産ごとにリスクを洗い出します。情報の「機密性・完全性・可用性」の喪失に伴うリスクを洗い出す必要があります。
洗い出したあとは、そのリスクを分析し、評価する必要があります。「分析」「評価」と聞くと、専門用語のようで難しそうですが、要はそのリスクの「発生可能性(起こりやすさ)」と「影響度」の2つを考慮して、洗い出されたリスクに優先度(順位)をつけることを意味しています。
詳細については、リスクアセスメントのページを確認してください。
ステップ3:リスク対応
リスクアセスメントにおいて、優先度が高いと判断されたリスクに対して、リスクを抑えるための対応を行います。 リスク対応には、人的リソースや予算が必要な場合がありますので、リソース・予算を確保するために、事前にリスクオーナー(多くの場合「トップマネジメント」)の承認を得る必要があります。
また、優先度が高いリスクに対する対応だけでは、対応に漏れが発生する可能性があるため、規格の「附属書A」と呼ばれる項目をもとに、漏れのないリスク対策を構築(これは「情報セキュリティマニュアル」にまとめます)する必要があります。
詳細については、リスク対応のページを確認してください。