ISO27001:2022 対応日記 リスクアセスメント後編
前回の記事では、ISMS リスクアセスメントの前半の作業内容についてお伝えしました。
今回は、リスクアセスメントの後半の作業、リスクを評価して、対応計画を立てる話です。
リスクの評価
現場でチェックリストに従って、リスク洗い出しをした結果は、ISMS事務局で内容を確認し、リスク値を算出します。リスク値の算出方法は、前回の記事を確認ください。洗い出したリスクは、文書で書いたものを提出いただくのですが、リスク値の算出のため、より具体的に、どのような事象をリスクと考えているのか、必要であればヒアリングを行って算定をします。
今回のリスク洗い出しで、高リスク(サイボウズでは64点中、18点以上を高リスクと判断しています。)と判断されたものは、2件となりました。
リスク対応計画
高リスクと判断された事象は、リスク対応計画という kintone アプリに登録をして管理をしています。高リスクと判断した事象を示し、この事象に対して、リスクを低減するのか、回避するのか、移転するのか、許容するのかを現場で判断します。低減、回避、移転、許容の意味は、以下のようになっています。
リスクの低減
リスクの低減とは、当該脆弱性が発生している原因を、改善し、リスク値を減らすための改善をすることをいいます。例えば、プログラムにバグがあり、第三者から攻撃される可能性があるのであれば、プログラムのバグを修正し、リリースをすることを低減といいます。
リスクの回避
リスクの回避とは、リスクは発生している原因を排除することで、プログラムにバグがある事例だと、そのようなプログラムを利用しないようにすることを指します。
リスクの移転
リスクの移転とは、リスクが現実に起こった場合にその損害を第三者に移転するようにすることで、サイバー保険の加入などがその例となります。
リスクの許容
リスクの許容とは、リスクの低減にコストがかかるなどで、リスクが発生した場合の損害と比べて割に合わないなどの理由で、リスクの発生を許容し、対応しないことを指します。通常、リスクを許容する場合は、理由などを示し、承認を得て判断することが一般的です。
サイボウズでは、今年リスク対応計画に登録された 2件について検討をし、2件ともリスク低減をすることとなりました。リスク対応計画では、対応時期、担当者、対応方法を記載し、情報セキュリティ管理責任者の承認を得ることとしています。
[PR]
kintone は業務アプリをノーコードで作成できるクラウドサービスです。リスク対応計画を立て、担当者に通知し、必要な入力フィールドを設計し、承認を得るプロセス管理などの機能がノーコードで作成できます。
サイボウズの ISMS活動では、多数の kintone アプリを活用し、円滑に活動を進めています。
まとめ
リスクの評価は、ヒアリングをして、具体的な問題点を把握して数値化
リスク対応は低減、回避、移転、許容から選択する
リスク対応計画は、責任者の承認を得る
次回は、サイボウズで実施した ISMS研修について書きたいと思います。