リスク分析のより深い資料は下記に公開されています。その中から興味深い点をピックアップしました。
JIPDEC ISMSユーザーズガイド -リスクマネジメント編-
http://www.isms.jipdec.or.jp/doc/JIP-ISMS113-21.pdf
(リスクマネジメントの事例もありhttp://www.isms.jipdec.or.jp/doc/JIP-ISMS113-11ap1.pdf)
リスク分析について(P.27~)解説
補足欄「評価作業上の留意点」(P.32)
・脅威や脆弱性の分類:分類の段階をどのくらいにすべきか(1~3でよいのか)⇒あまり細かくしても意味がない
・評価が中央に集中する問題⇒分類数を3でなく4にするなどの対策も
・評価者によるバラツキの問題⇒例示や分類例をつくる等
補足欄「リスク値を算定することの意味」(P.36)
・リスク値=資産の価値×脅威×脆弱性 の計算式を採用しているが、この計算式には厳密な理論性はない。
脅威や脆弱性の値も便宜的に付けた数値にすぎない。これらを四則演算してリスク値を算定することに理論性は乏しい。
このようなリスク値だけに頼らず、人間の判断や、算定された数値の妥当性を再度検討し修正することも選択肢のひとつ。
これら手法も改善していくべき。
では、何のためにリスク分析をおこなうのか。
=リスクを数値で表すことの意義
・自分で脅威や脆弱性をリストアップしたとき、煩雑になっている状況が整理される
=内容の整理がつく
・グループで討議するとき(特に優先順位をつけるとき)、優劣の判断がつきやすく、議論がすすむ
=合意形成がしやすい
・第三者が見たとき、リスクの優先順位を決めた討議の過程が見えるため、理解しやすい
=結果が分かりやすい
・今回の演習では「情報資産持ち出し時の情報漏えい」のリスクに絞り込んだが、実際に組織に関わるリスクはこの数十倍ある。これ
に優先順位をつけるには数値化は必須
=大量なリスクの検討ができる
前提として、グループでリスク分析を行なうことの意義
・一人ではどうしても考えに漏れが出やすい
・各部署から選出されたグループで検討・合意することで、その結果は全社的な合意につながりやすい