では、リスクアセスメントの手順はどのようにすればよいだろう。
リスクアセスメントはまず、既に説明した情報セキュリティ基本方針を定めるところから実は始まってるような気がする。
-
1. 情報セキュリティ基本方針を定める。
(その中に、自分たちが行っている業務・サービスの種類に対して、機密・完全・可用のどれを重視するか書く。)
-
2. 情報資産を洗い出す。資産一つ一つに規格書が定める項目を全て記入する。
-
3. 資産価値の評価(機密性・可用性・完全性)
-
4. 受容リスク基準値を定める。この際、情報セキュリティ基本方針に定めた重視する資産価値の基準値を特に厳しく設定する。
-
5. 脅威と脆弱を見定める。
-
6. リスク値を計算
-
7. 受容リスク基準値に照らし合わせて受容するかどうかを決める。
-
8. もし受容リスク基準値が現状と照らし合わせた結果現実的でなかった場合は検討し直す。
受容リスク基準値とは、その名の通り受容するリスクの値を自分たちで決めるもので、機密・完全・可用の3価値にそれぞれ存在する。
情報セキュリティ基本方針には、資産価値(機密、完全、可用)のどれを自分たちは重視するのかを大抵書くものらしいので、先にそこで記入したとおり、一番重視する価値が最も厳しい値になる。そしてその値が下がれば下がるほど、受容できるリスクも少なくなっていく。