第2回 ISMSの進め方（準備・計画〜実施編）：いまさら聞けないISMS（3/3 ページ）

[持田広志，ITmedia]

2.リスクアセスメントの実施

　リスクアセスメントは、「情報の洗い出し」「情報の管理レベルの決定」「リスクアセスメントの実施」の流れで実施します。リスクアセスメントの第一段階として、認証対象部門にある情報の洗い出しを行います。

　ただし、いきなり情報の洗い出しといわれても、担当者が作業をどのように進めたらよいか分からないことが多くあります。事務局側で一般的な情報の例などを記載したシートなどを用意し、それをベースに部門で加除してもらう形で進めるなどの工夫が必要です。この際、洗い出した情報を管理台帳の形にまとめると今後の作業に使用でき、手戻りが少なくなります。情報管理台帳には情報の名前・種類、情報の管理責任者、重要度、保管期限、管理方法、廃棄方法などを記載します。

　次に、情報の管理レベルを決定します。管理レベルの決定方法としては、「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」（それぞれの英単語の頭文字を取ってCIAと言います）の指標で評価を行い、情報の管理レベルを決定する方法があります。具体的には、CIAのそれぞれを3〜5程度でレベル付けし、それぞれのレベルの和や最大値を情報管理レベルとします。

　情報の洗い出し、管理レベルの決定が終わった後は、リスクアセスメントを行います。ISMS認証基準にはリスクアセスメントの具体的な方法は指定されておらず、各組織に方法は任されています。よく利用されているアセスメント方法は、情報の価値の他に、脅威と脆弱性を見積り、それらの和や積をリスクレベルとする方法です。

3.アセスメント結果への対応実施

　リスクアセスメントの結果からリスクが明らかになったら、どのように対処していくかを組織で検討します。

1. リスクの管理者及び対応方針を決める
2. それぞれの具体的な対応を検討する
3. リスク対応計画を立案する

　リスク対応計画が定まったら、計画に沿ってリスク対応を実施します。リスク対応が完了した後は、いよいよISMSの運用に入ります。次は「運用」と「内部監査の実施」について解説します。

執筆者プロフィール：持田広志

デロイトトーマツリスクサービス／シニアコンサルタント。大手SIerを経て2008年に監査法人トーマツに入所。大手流通、マスコミ、人材関連、中央省庁、IT企業をはじめとする多様な業種・業界に対して個人情報をはじめとする情報管理やセキュリティマネジメントに関するリスクコンサルティングや監査サービスを多数提供。CISA（公認情報システム監査人）、PCI-QSA（PCI DSSに関する審査資格）などの資格を有する。