・何が大事か?

・なにが弱いか?

・だからどうしたらいいのか?

これらを調べることを情報セキュリティ上でのリスクアセスメントと呼んでいます。

 

リスクアセスメントをすることで、お金や時間を効果的に使うことができます。

 

では、今回の本題、 リスクアセスメントとして何をやったらいいのか?

基本的には情報の洗い出しなのですが、一般的なものは、情報の一覧表を作って、

その情報個々に対策を考えていくものだと思います。

 

でも、この方法はスタートアップ時や変更を許容するような事業では非常に面倒です。

その場合にはプロセス型のリスクアセスメントを利用してはいかがでしょうか?

リスクアセスメント表(プロセス型).pdf

 

利点として、

・比較的短時間で作れる。

・各業務プロセス内での重要度やリスクが洗い出しやすい。

・リスクと対策を実際の業務としてとらえやすい。

・変更が有った場合の関連がわかりやすい。

 

デメリットとして、

・業務プロセスが多いと、情報が分散されてしまう。

・成熟度が業務に引きづられる

といったところでしょうか。

 

中小組織には良い方法だと思います。

一度検討してみてはいかがでしょうか。