リスクマネジメントとリスク対応
1.リスクマネジメントのプロセス
情報セキュリティにおけるリスクマネジメント(risk management)とは、情報資産に対するセキュリティリスクを分析・評価し、優先順位を付けて適切な管理策を決定することによって、許容されるコストの範囲内でリスクを最小限に抑え、除去するようにコントロールする一連の活動です。
リスクマネジメントでは、情報資産、脅威、ぜい弱性の三つの視点でリスクの大きさを評価し、そのリスクにどのように対応すべきかを決定し、適切なリスク対応策を決定します。具体的には、次のような一連のプロセスをPDCAサイクルで回します。
①リスクアセスメントを行う
②リスク対応を行う
③リスク対応計画を策定し、管理策を導入する
④導入した管理策の妥当性を評価し、見直しと改善を行う
リスクアセスメントとは「リスク分析を行い、算定されたリスクについてリスク評価を行うこと」であり、リスク対応とは「リスク評価の結果に基づき、特定したリスクが受容可能なリスクの水準以下になるように適切な管理策を選択すること」です。
2.リスク対応の概要
2.1.リスク対応の方法
リスクアセスメントの結果を受けてリスクの大きさを判断し、緊急度や重要度の観点から優先順位を付けて適切な対策を決定することをリスク対応といいます。簡潔に表現すれば、「リスクアセスメントの結果に基づいてリスクの対応策を決定すること」といえるでしょう。リスク対応の方法には、リスク最適化(リスク低減)、リスク保有(リスク受容)、リスク回避、リスク移転の四つの選択肢があります。
※詳細についてはここでは記載しておりません
※企業によっては費用問題が発生するので、リスク回避が行う必要性がありますが、情報セキュリティ対策の知識が乏しく、そのため多くの個人情報の漏洩が発生しやすいです。
2.2.リスク対応手法の種類
- リスクコントロールのおける対応手法
- リスクファイナンシングにおける対応手法
※詳細についてはここでは記載しておりません
