[情報セキュリティマネジメント試験]リスクマネジメント[無料講座・例題付き!]

2021年4月26日

情報セキュリティマネジメント リスクマネジメント

今回は情報セキュリティマネジメント試験で問われるリスクマネジメントについて学習します。

くろん
くろん
大事なファイルが改ざんされたにゃ!どうしよう・・・
モナ
モナ
事故が起きてからじゃなくて、その前にどう対処するか決めておくのも大事だニャ

リスクマネジメント

リスクマネジメントは組織のリスクを分析・評価し、対策を打つ取り組みです。

リスク対策を決める根拠となるリスクアセスメントを事前に行いその結果から客観的で効果的なリスク対応を行います。

リスクマネジメントの概要は以下のようになります。

  • リスクマネジメント・・・組織のリスクを分析・評価し、対策を打つ取り組み
    • リスクアセスメント・・・リスクの有無・被害の大きさ・発生可能性・許容範囲内であるかどうかを分析する
      • リスク分析・・・リスクを特定してリスクの大きさを決める
        • リスク特定・・・リスクを発見する
        • リスク算定・・・リスクの大きさを決める
      • リスク評価・・・リスク分析の結果とリスク基準を照らし合わせる
    • リスク対応・・・リスクに対して対策を打つ
      • リスク回避・・・リスク自体を失くす
      • リスク低減・・・リスクを発生させにくくする
      • リスク共有・・・リスクを他者と共有する
      • リスク保有・・・あえてリスク対策しない
    • リスク受容・・・リスク対策をしない事を組織で決める
    • リスクコミュニケーション・・・情報共有のため、関係者とコミュニケーションする

リスクマネジメントの流れ

大まかな流れとしてはまず、リスクの発見(リスク特定)を行い、次にリスクの大きさを算出(リスク算定)を行うと言った、リスク分析を行います。

次にリスクの値を基準と照らし合わせるリスク評価を行います。ここまでの流れがリスクアセスメントです。

次にそのリスクにおいて、回避・低減・共有・保有をします。

リスクは0にできない場合も多いです。優先順位を決めてあえてリスク対策をしないリスク受容も重要です。

キュー
キュー
リスクによる被害が5,000円やとして、対策に10,000円かかるようやったら対策したほうが費用かかるしなぁ

リスクに関する情報収集においてはリスクコミュニケーションも必要になってきますね。

モナ
モナ
担当者・担当部署だけでなく経営者やベンダーとのコミュニケーションも重要だニャ!

リスクマネジメントシステムにおけるPDCAサイクル

セキュリティリスクは環境の変化・新たな脅威の出現などによって変わっていきます。

一過性の対策では不十分なのでリスクマネジメントの取り組みであるリスクマネジメントシステムでは次のPDCAサイクルを回していきます。

  • Plan・・・リスクアセスメント(リスク分析・リスク評価)
  • Do・・・リスク対応
  • Check・・・リスクマネジメントの効果を測定し有効性を評価する
  • Act・・・リスクマネジメントの取り組みを改善する

スポンサーリンク

リスクマネジメント・まとめ

今回はリスクマネジメントの概要について学習しました。

カズ
カズ
今回は概要だけだから例題はなし!

次回はリスクアセスメントについて学習します。

スポンサーリンク