- 締切済み
情報セキュリティマネジメントシステム(ISMS/ISO 27001/JIS Q 27001)のリスクアセスメントについて
私の会社では、情報セキュリティマネジメントシステム(ISO 27001:2005)を取得・運用しております。 リスクアセスメントを実施していくにあたって、つじつまが合わないというか困ったことが出てきました。 わかりやすくするため 財団法人 日本情報処理開発協会の 「ISMSユーザーズガイド-リスクマネジメント編-」 http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf を使って運用するものとします。 ユーザーズガイド P32によると リスク値=「情報資産の価値」×「脅威」×「ぜい弱性」 等となります。 そして例えば「受容可能なリスク値」を9未満と決めたとします。 そうすると、P33の表の水色部分において、対策を行うこととなります。 ------------------------ここまでは良いのですが… 弊社では、同じような方式を採用して なおかつ定期的にリスクアセスメントを行うこととしました。 もちろん今までのリスク(ぜい弱性)に対する対策は取ってあるとします。 そうすると、「情報資産の価値」=3以上、「脅威」=3、の資産の場合 「ぜい弱性」がいくつであろうとも、リスク値は9以上になってしまうのです! 自らコントロールできる値は「ぜい弱性」のみですから、 ありとあらゆる対策を取り、ぜい弱性を下げてあったとしても いつまでたっても「受容可能なリスク値」(9未満)を満足できない …というおかしな事になってしまうのです… このユーザーズガイドの点数は、あくまで便宜的な数値、ということはわかっているのですが じゃあどのようにリスクアセスメント手法を直せばいいか、良い方法が思いつきません… うまく運用されている例がありましたらぜひご教示ください!
- IsaOshieteGoo
- お礼率75% (43/57)
- コンサルティング
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- hamayan55
- ベストアンサー率33% (1/3)
質問者さんもお気づきのとおり、P33の図は一例に過ぎないので、必ずしも9未満にしなくてはいけないという事ではありません。 受容可能なリスクレベルは御社で決めればいいと思います。 レベルが高いものについては、レベル相当の対策が必要ですよという意味合いで良いはずです。 おそらく、リスク値9が本当に問題あるのかを調べてみてはどうでしょうか?全体として許容レベルが高すぎるのであれば、そこの見直しが必要かと思われます。 コンサルなどを使わずにISO27001を取得されるように見受けられますが、確実に取得する必要があるなら、コンサルに手伝ってもらったほうが効率もいいと思いますよ。コンサル料金は取得保証で200万程度です。一人で取得するには厳しすぎるものだと思うので、人件費と期間を考えればここでお悩みになられるより安いと思います。
- isoworld
- ベストアンサー率32% (1384/4204)
「受容可能なリスク値」を定めるときによく考え、妥当な基準にしなければなりません。貴社で「9未満」と決めたのには、何かそれなりの根拠なり考えはあったのでしょうか。どこまでになれば受容可能であるか、幾つかの事例で検証してみてください。それが「受容可能なリスク値」を決める判断要素になるはずです。 次に「自らコントロールできる値はぜい弱性のみ」とありますが、そんなことはありません。「脅威」に対しても打つ手はあります。
補足
ご回答ありがとうございます! 回答つかないだろうと思っていたのでとてもうれしいです(^-^) 基準「9未満」というのは、うちの会社の基準ではなくて、あくまで「日本情報処理開発協会」のユーザーズガイド http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf のP33 上段の「表2-16 リスク受容一覧の例(1)」からです。 >「自らコントロールできる値はぜい弱性のみ」とありますが、そんなことはありません。 >「脅威」に対しても打つ手はあります。 うーん、それは納得できませんが… 例えば、資産が「金銀財宝」 脅威が「どろぼう」 ぜい弱性が「家にカギをかけていない」とします。 「ぜい弱性」対策には、カギを2重にしたり監視カメラを付けたりして対応します。 「資産」対策には、もしかしたら財宝を手放す、という策もあるかもしれません。(リスク回避ですね) 「脅威」対策に対する対策は?どろぼうそのものを無くせばいいのでしょうか。 では、どろぼうを片っ端から捕まえて減らしていく? そんな事は無理ですよね!脅威は外からやってくるんですから、コントロールは不可能です。 同じように、 資産:「サーバ内の顧客情報」 脅威「ハッカー・ウィルス等」 ぜい弱性「セキュリティ対策の不備」 この場合は、脅威は減らす事ができますか?ハッカーやウィルスをこの世から無くす事はできます? そして、資産価値が「3」、脅威が「3」とします。(個人情報保護・ウィルス蔓延などを考えればこれくらいとなるはず) セキュリティ対策を完璧なまで、これ以上無い!というくらいに行い、「ぜい弱性」を最上級の「1」とした場合でも、 リスク値は3×3×1=「9」、受容可能範囲を超えてしまいます。 従って、リスクアセスメント上では、いくら対策を打っても、リスク低減ができないことになってしまいます。
関連するQ&A
- ベースラインアプローチの実際が知りたい
初めて投稿します。 私は会社でISMSの運用に携わっています。最近配属されたばかりですが、まもなくリスクアセスメントの時期です。 これまでうちの会社は、『非形式的アプローチ」でリスクアセスメントをやっていました(先輩にすごく詳しい人がいて、その人が中心でやっていました)。 しかし、今後、これから先もISMSを継続していくことを考えると、いつまでも個人のスキルに任せた方法というのもいただけません。 そこで今年はセオリー通りの『組み合わせアプローチ」を採用しようと考えています。しかし、その先輩も私も、他の同僚も、『詳細リスク分析』はわかりますが、この『ベースラインアプローチ』というのがよくつかめません。 「情報資産の洗出し」の後にやるのだとは思うのですが、「グループ化」の前にやるのか、それとも「グループ化」の後にやるのか、従来のプロセスのどこに組み込めばいいのか、実際の具体的なやり方がさっぱりなのです。 アドバイス、または参考になるサイトや書籍など、何かご意見いただければと思います。
- ベストアンサー
- 経営情報システム
- ISMS構築:情報資産のリスク分析と管理策について
情報資産のリスク分析と管理策について教えてください。 社内のサーバの1つを「ファイルサーバー」として使用しております。 当然のことながら、グループごと、プロジェクトごとといったように設けられたフォルダにアクセス権限が付けられております。 今回情報資産の洗い出しで、ファイルサーバに保管された電子情報のリスク分析で、どう考えたらよいのかわからない事があります。 フォルダへのアクセス権限付与が適正に行われていない、或いは行っていない場合は不正アクセスという脅威にさらされることになるわけですが、このような場合の管理策はどの管理策となるのでしょうか?? A.11.2.1の「利用者登録」はネットワークアクセスの利用者登録と考えているのですが、ファイルサーバへのアクセスもこれに該当すると考えてよいのでしょうか?? 大変お手数をおかけしますが、このあたりの考え方を教えてください。 宜しくお願いします。
- ベストアンサー
- コンサルティング
- ISMS(情報セキュリティーマネジメントシステム)って何ですか?
突然ですが、ISMS(情報セキュリティーマネジメントシステム)とはどのようなものですか? パイロット審査とはどのような審査なのでしょうか? 開発した製品にかけるのか、会社にかけるのかよく分かりません。 色々検索し、調べましたが、元々素人に近いためよく意味が分かりません。 分かりやすく教えていただけると有り難いのですが。
- ベストアンサー
- ネットワーク
- 情報セキュリティマネジメントシステム ISMS
弊社は小さい会社ですが、個人情報を扱っており、 社内的にその扱い方の業務や統制を見直したいと考えております。 その中で「ISMS」というキーワードが出てきたのですが、 これは「ISO27001」という「資格」のことなのでしょうか?。 それともITILのようなガイドライン、または活動の模範のようなものでしょうか?。 ご教授頂ければ助かります。
- ベストアンサー
- コンサルティング
- 情報セキュリティの基準、手順書作成で困っています
情報セキュリティの基準、手順書作成で困っています 情報セキュリティ構築スケジュールの(7)からいきなり 情報セキュリティ構築に参加することになり、 何から手をつけてよいかわかりません。 細分化したスケジュールを出すよう言われても 困っているところです。 (1)情報セキュリティ管理の組織体制化 (2)基本方針を策定する (3)リスクアセスメントの取組方法を策定する (4)リスクを識別する (5)リスクを分析し評価する (6)リスク対応を行う (7)対策基準の策定 (8)実施手順の策定 (9)運用 (10)セルフアセスメント この状態で、何を入手すれば、進めていけるでしょうか?
- ベストアンサー
- ネットワーク
- 皆さん、こんにちは!iso27001
質問がありますが。iso27001に関してどんなソフトがもっと役に立ちますか。ほしいのは資産インベントリ、リスクアセスメント、情報セキュリティインシデントの管理を備えるものです。 どんなソフトソリューションがもっと相応しいですか。
- 締切済み
- ネットワーク
- ISMS情報資産の洗い出しについて
こんにちわ。 30人程度の小規模な企業に勤務しておりますが、業務上ISMSの取得が必須となりそうなので今回取得を試みる事になりました。 現在、情報資産の洗い出し作業を行っている所なんですが、どこまで掘り下げて洗い出しをすればいいか訳がわからなくなってきました。 今、問題となっているのは原材料や消耗品についてなんですが、例えばA4のコピー用紙やプリンターのトナーカートリッジについては どのように考えればいいのでしょうか? 情報資産の洗い出しを考える際、情報やデータのみを情報資産として考えればいいのかもしれませんが、コピー用紙を使えば、その情報を 印刷して持ち出す事ができると考えると、資産として管理しておくべきなのかというところにたどり着いてしまいました。 この考え方でいくと会社のあらゆるものを資産として考えておかなければいけなくなるような気がします。 また簡単に考えるのであれば、住所録は資産として考え、コピー用紙やトナーなどについては漏洩時のリスク対策として管理するように した方が簡単なような気もします。 みなさんの会社では情報資産の洗い出しについてどのようにお考えなのか教えて頂け無いでしょうか? 宜しくお願いします。
- ベストアンサー
- コンサルティング
- ISOのマネジメントシステムって!
私の努める会社ではISOのマネジメントシステムの認証をいくつか受けています。グループ会社や部門によって異なるのですが、ISO9001、14001,13485、QS9000と複数の認証を受けています。また、検討中のISOとしてISO16949等があります。ISOではありませんがHACCP等もありますし、今後リスクマネジメントの規格や食品の規格(22000?)やCSRなどもあるそうですが、一体いくつのマネジメントシステムが存在し(あるいは計画され)どれを選択し受審すべきか整理できなく立場上混乱しています。そこで現存する、あるいは近々規格化されるマネジメントシステムの一覧と概要のわかる方教えていただけないでしょうか?全てが掲載されているURLの紹介でも嬉しいです。よろしくお願いします。
- ベストアンサー
- 経営情報システム
- マンション購入で資産運用?
妹から相談を受けました。 旦那さまは、中堅企業の部長です。 会社から、資産運用、税金対策の資料などいただいてきたそうです。 その中には、東京のマンションを30年ほどのローンで購入する。 賃料でローンを払うので持ち出しは無い、頭金も要らない。 リスクもないとのこと。 旦那さんは、乗り気で今にも契約しそうだが、妹は乗り気ではありません。確かに退職金などの税金対策になるかもしれませんが・・ 安全な投資は無いと思いますが、このようなサラリーマンの税金対策、資産運用は、誰でも、やっているのでしょうか? 持ち出しなしで、マンション購入、こういうのは、よくある投資のひとつなんですか? 本当にリスクはない、安心なものなのでしょうか? まったくの素人なので、よろしくご指導お願いします。
- ベストアンサー
- 不動産投資・REIT
- ISO9001品質マネジメントシステムに関しまし…
ISO9001品質マネジメントシステムに関しまして。 標記の件ですが弊社プレス工場で金型修理を担当している者です。 質問ですがISO9001で金型修理の為の工作機械において{定期点検記録簿・ 精度校正書・等}の付図や書式が必要なのでしょうか? ちなみに工作機械はフライス・旋盤・ボール盤・研磨機3台・放電機・ ワイヤー機・ジグ研で金型製作可能な設備は整っておりますが現在、製作 は行っておりません。 どちら様か詳細を御存知のかたがいらっしゃれば御教示願いますよう よろしくお願い申し上げます。
- 締切済み
- ISO
補足
ご回答ありがとうございます。返信が遅くなりまして申し訳ありません。 確かに例示は一例に過ぎないので、自社に合ったようなリスクアセスメントにすれば良いのでしょうが・・・ しかし実際の運用に当たって、ガイド通りに運用して同じような壁に当たっている方もおそらくいらっしゃるのではないかと思い、実際問題どのように解決しているのか、生の声をお聞きしたくて質問を投稿させていただいた次第です。 問題点としては、 ・リスク値9が高すぎる・・・この手法では受容可能リスク値10までしか運用できない ・「資産価値」×「脅威」×「ぜい弱性」の掛け算にしない・・・ではどのように評価するか? ・あくまでリスク値は参考値と考え、高いリスク値はその都度検討するようにシステムを変更する・・・これが一番現実的か? あまりリスク評価手法を難しくしてしまうと、だれも出来ないような複雑怪奇なリスクアセスメントになってしまいます。実際現状でも、リスク算定表(情報資産台帳)がややこしすぎて、各部の担当者が監査のためだけに作っているような有り様。 またデジュールスタンダートに文句を言っても仕方ないのですが、規格で「リスクアセスメントで現在のぜい弱性対策を考慮する」などとなっているので、二重に対策を書くような状況になり、余計にリスク評価がややこしくなってしまいます。なぜOHSAS18000やISO14000のようにシンプルにできないのか。 さらに社内規定で、「リスク点が前回リスク評価より下がっていれば有効性がある」みたいにしたもんだからますます話は複雑怪奇に・・・ ちなみに私は現場部隊の1人にすぎず、認証取得はISO事務局が行っております。ISMSの認証もすでに取得していますが、多忙などで運用は半分ほったらかしのような状態で、正直、とても有効に運用されているとは言えない状況です。 有効性を確認するなら、現場を監査して回るチームでも組んで定期的に抜き打ち検査したほうがよっぽど有効じゃないか!?と進言もしましたが、そんな金も人手もないと言う感じで、ネコに鈴を付けるのは誰だ状態。まあ実際やったらやったで、現場からは「とても規定通りには運用できない」と苦情があがることは目に見えてますが。 クリアデスクにしたって定期監査が迫ってきてやっと片付けはじめるような始末ですし。実際クリアデスクが遂行できるほどの場所的余裕がある事業所がどれだけあるのでしょう。できないならできないで別の方策を考えなければいけないのですが・・・机の上には山積みになっている資料。この資料の資産価値の分類、これは一体だれがやるのでしょう?資産の担当者を資産毎に明示?担当者が異動になったら全部書き換えるのでしょうか? こんな状況ではたしてセキュリティは確保されるのかはなはだ疑問で、まあやってないよりはマシなんだと言い聞かせながらやっていますが・・・ 以上現場の一担当者のグチでした。お目汚し失礼致しました。