top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

情報セキュリティリスク分析支援

情報セキュリティリスク分析支援 必要性

情報セキュリティの対策(管理策)は、国内外においてISO27002(JISQ27002)を始めとするベストプラクティスが普及しております。
そのため、どのような情報セキュリティ対策(管理策)を実施・実装すべきかといった参考事例には事欠かない状況になってきていると言えます。

当然のことながら、情報セキュリティ対策を組織に実施・実装するためには、調達・運用コストおよび導入・運用にかかる労力(作業)が発生します。
また、不適切な情報セキュリティ対策を実施・実装してしまった場合、かえって情報セキュリティのリスクが高まってしまったり、業務の運営に支障をきたしてしまう恐れがあります。

情報セキュリティの対策の検討に際しては、組織の文化、業務プロセス、情報資産の重要度、想定リスクの大きさを十分にアセスメントしなければなりません。

しかしながら、情報セキュリティ上のリスクは広範囲に及び、情報セキュリティの技術革新は目覚ましく、日々新たなリスクが増え続けている状況です。また、リスクをアセスメント(分析・評価)するための手法は、ベストプラクティスと言われるISO13335(MICTS)において“考え方”は紹介されているものの、実務レベルでリスクアセスメントを実施すべき手順までは具体化されておりません。
実際に、ISO270001(ISMS)認証を取得されている組織においてもリスクアセスメント手法は千差万別であり、最適解というものが存在しないのが実情です。
情報セキュリティの国際規格であるISO27001においても、“適切なリスクアセスメントを実施しなさい”と要求しているに留まり、具体的な要件・手順までは記述されていません。
つまり、リスクアセスメントの最適解は、組織の文化、業務プロセス、情報資産の重要度、想定リスクの大きさを踏まえ、組織自らが整備しなければいけないということになります。
他組織で実績を上げているリスクアセスメント手法が、必ずしも自組織でも有効とは限りません。

有効性の高いリスクアセスメント手法を整備し、定期的に実施することにより、組織に内在する情報セキュリティリスクに見合った情報セキュリティ対策を実施・実装することが可能となります。

なお、すでにリスクアセスメント手法を整備され、実施されている組織の場合、下記のような問題点・課題に直面されている場合には、本サービスによる改善支援が有効です。

<リスクアセスメントにありがちな問題点・検討課題>
・リスクアセスメントにかかる作業量が膨大であり、一向に減らない
・リスクアセスメントに基づいたセキュリティ対策を実施しているにもかかわらず、インシデントが頻発している
・実際のリスク(業務プロセス上のリスク、情報資産のリスク)とリスクアセスメントの内容が噛み合っていない
・リスクアセスメントが属人的であり、人によって毎回結果が異なる
・定性的あるいは定量的な仕組みとなっておらず、分析・評価がしづらい

情報セキュリティリスク分析支援 リスクアセスメントによる最適化

GSXコンサルティングの特色

ステップ

効果・メリット

情報セキュリティリスク分析の整備には、下記のメリットがあります。

■組織としての情報セキュリティ管理(リスク管理)に関する対外的な説明責任への対応
■情報セキュリティに関する外部監査、認証審査(ISO27001/JISQ27001)等への円滑な対応(リスクアセスメントはISO27001認証取得の必須要件です)
■経営層への情報・判断材料の提供(情報セキュリティリスクの取扱いに関するコミットメント)
■リスクアセスメント作業に係わる属人性の低減(人によってアセスメント結果が毎回変わる等)
■情報セキュリティインシデントの抑止、低減
■情報セキュリティ対策(管理策)の実施要否の判断の迅速化、判断の適切性
■業務プロセス、情報資産の重要度に見合った情報セキュリティ対策の実施・実装(費用対効果の向上)

支援・実施実績

■大手生保会社における情報セキュリティ文書の整備
■大手システムインテグレーターのISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手通信事業者におけるISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手信託銀行における情報セキュリティポリシー整備
■各省庁、地方自治体における情報セキュリティポリシー、ガイドライン整備電力会社、大手製造業、大手金融機関、官公庁、自治体 など

Q&A

リスクアセスメント手法の整備が完了までの所要期間の目安はどれくらいですか。

キックオフからリスクアセスメント手法の整備(手法の確立)までは約3ヶ月程度です。
整備した手法に基づきリスクアセスメント及びリスク対応を行い、最後に手法の見直し(最適化)を行うまでの全体の所要期間は約6ヶ月程度です。(ゼロベースから手法を確立するケースと、既存の手法を見直すケースでは作業量も変わります)

リスクアセスメント手法は、どのような基準をベストプラクティスとして整備しますか。

情報セキュリティのリスクアセスメント手法を取り上げている国際規格としてはISO13335(MICTS)があります。また、ISO27001認証取得を目指されている組織においては、ISO27001(JISQ27001)のリスクアセスメントに関する要件に準拠させる必要があります。
ただし、具体的なリスク評価項目や実施手順については組織の裁量、ニーズに委ねられますため、 整備前に十分な協議を行い、また、実際の組織の現状をインタビュー調査、視察などを踏まえて、実効性の高い手法を整備してまいります。

リスクアセスメント整備における成果物(ツール)は、どのような物がありますか。

整備計画書、リスクアセスメント実施マニュアル、リスク分析用テンプレート、リスクアセスメントシート、リスク対応計画書、リスクアセスメント報告書、各種意見書(アドバイザリー)がございます。

Pagetop