この項目はPDCAの「P」段階です。
発芽準備のTOPに戻る ISMS構築編のTOPに戻る

リスク「アセスメント」・「マネジメント」

 規格書によると、リスクアセスメントとは「リスク分析から、リスク評価までの全てのプロセス」という意味らしい。
情報資産一つ一つに、どんなリスクがあるのかを全て考え、それはどんな頻度で起きそうなのか、起きた場合どれぐらいの時間で復旧できるのかをはっきりさせ、 それらを総合し考えた結果を数値化して「リスクを評価」する作業のことだ。
その数値化のことを、リスクの定量化と呼ぶ。 

 全てのリスクについて、数値でその大小を考えることができるように、規格書に定められた観点からそのレベルを算出していくのだ。
数字にしてしまえば、リスクの大小が考えやすくなり、対策もここからここまでのレベルならやるけど、そうじゃないなら受容します、なんてことが容易になる。
 ただこのリスクアセスメント手法、ISMSにおいて特にこれだ!!というものはないらしい。
規格書にも注記として、「リスクアセスメントの方法には、幾つか異なるものがある。」なんて書かれているくらいだ。

 とはいえ、どんなに色々やり方があったとしても、規格なのだから、要求している基本的なことはちゃんと定められている。
その一つが最初に説明した定量化で、もう1つは比較・再現可能であることだ。
 比較とは、いろんなやり方でやったとしても、結果的には同じ数値が出なければならない、ということ。登山みたいに目指す頂上は一つだけど、登山ルートはいろいろある、みたいな感じ。 再現とは、自分がやった方法を他人がやってもちゃんとおんなじ結果にならなくてはいけない、ということだ。お料理のレシピを事細かに書いておけば、作る人が変わってもちゃんとおいしい料理ができるのと同じ感じ。 作る人の能力に差があったとしても、同じように同じ味のおいしいものができるように、レシピを書くことが必要になる。
やり方や、人によって、そのリスクの大小が変わってしまうようでは、世界規格とは言えないだろう。

 
リスクの受容(あまり大きくないリスクなら受け入れる)・低減(対策を施してリスクを小さくする。)・移転(代替え手段を用いてリスクを他者に移転する)・回避(そのリスクを背負っているその物を使うのをやめる。)
 リスクマネジメント-リスクアセスメント=リスク対応

 
 いろんなISMSのサイトを読んだり、日々ISMSの会議で聞き耳を立てていると、リスクマネジメント、という言葉が突然飛んで出てくることがある。
しかも、さっき「リスクアセスメント」と説明した同じ文脈で、その言葉を「リスクマネジメント」と言い換えていることがあって、戸惑うことがある。そういう時に限って、両者の違いを説明してないことが多い。ような気がする。
 
2つを訳すとわかるように、言葉は同義語ではない。
リスク「評価」がアセスメント、「運営」がマネジメント。
え、じゃあ、どっちでもよくないのにどっちでもいいみたいな使い方をしているの??と、思うかもしれない。
実はそうではなくて、リスクマネジメントの作業の中の1つが、リスクアセスメントなのだ。
 リスクアセスメントのほかに、 リスク自体に手を加えて、リスクの起こる頻度や発生したときの影響の大きさを変えるための行動も、リスクマネジメントの大事な作業なのだけれど…。
残念ながら後者に名前をつけていないようで、それが混乱のもとになっているような気がする。




お次は…1つの資産に3つの価値