リスクの特定
リスクアセスメントの最初の活動として、情報セキュリティ管理の対象とするリスクの特定を行います。具体的には以下の手順が示されています。
| (情報)資産および(情報)資産の管理責任者の特定 |
| 最初に実施すべきことは、ISMSの範囲内にある(情報)資産の洗い出しであり、各情報ごとにその管理責任者を特定する必要があります。業務プロセスのフローや既存の資産台帳を利用して資産を洗い出せば、漏れの防止につながります。 |
| 上記の(情報)資産に対する脅威の特定 |
| 脅威の具体性が乏しいと、対策も一般的なものに落ち着く傾向があるので、脅威の内容として具体的に特定するのが望ましいとされています。「情報漏えい」を例に挙げると、1.ハッカーが侵入し、電子媒体上の情報が持ち出される、2.社外から第三者が侵入し、紙媒体の情報が持ち出される、3.社内のものによって情報がUSBメモリ等にコピーされて持ち出される、などが考えられますが、このように具体的に特定できれば、それぞれにあった対策をとることができます。 |
| (情報)資産に及ぼすかもしれない影響の特定 |
| 上記のような脅威が発生する可能性、およびそれらの脅威が発生して、情報の持つ機密性、完全性、可用性が喪失した場合、どれくらいの影響があるのかを想定します。 |
この段階で特定されなかった潜在リスクは、この後の分析から取り除かれてしまうことになりますので、構造化された体系的なアプローチによって、リスクを漏れなく特定することが重要です。