リスクアセスメント・対応マニュアル
リスクアセスメントの方法
Section titled “リスクアセスメントの方法”当社は、以下の手順でリスクアセスメントを行います。
各部のISMS担当者が、普段の業務における情報セキュリティリスクを機密性・可用性・完全性の観点で洗い出す。 なお、最終的なリスクの管理に責任を持つ「リスク所有者」は、トップマネジメントとする。
特定されたリスクは、以下の基準に基づいて、「発生可能性」と「影響度」を決定する。
| スコア | 基準 |
|---|---|
| 1 | ほとんど発生しない |
| 2 | 2,3年に1回くらい発生するかも |
| 3 | 1年に1回くらい発生するかも |
| 4 | いつ発生してもおかしくない |
| スコア | 基準 |
|---|---|
| 1 | ほとんど影響はない |
| 2 | 日々の業務に影響する |
| 3 | 長期的な事業に影響する |
| 4 | 企業の存続に影響する |
以下の式に基づいて「リスクレベル」を決定する。当社が受容できるリスクレベル(リスク受容基準)は「5」とし、「5」を上回るリスクは、以下に定めるリスク対応を行う。
リスクレベル = 発生可能性スコア + 影響度スコア
リスク対応の方法
Section titled “リスク対応の方法”当社は、以下の手順でリスク対応を行います。
- 「リスクアセスメント」にて洗い出されたリスクの中から、リスクレベルが、リスク受容基準である「5」を上回るリスク、または、「5」以下でも対応が可能なリスクについては、期限と担当者を定めたリスク対応計画を決定する。 リスクレベルの高いものから順に対応を検討する。
- 洗い出すことができなかった潜在的なリスクに対応するため、ISMS責任者は、ISMSの規格である「JIS Q 27001 附属書A」を確認しながら、広範なルールを定義した「情報セキュリティマニュアル」を定める。
- 「JIS Q 27001 附属書A」の内容がもれなく反映されていることを確認するために「適用宣言書」を作成する。
- リスクアセスメント・リスク対応の実施の記録(リスクリスト、情報セキュリティマニュアル、適用宣言書)は、リスク所有者であるトップマネジメントの承認、もしくはトップマネジメントから責任及び権限を割り当てられた者の承認を得る。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-05-27 | (0.1) | SecureNavi上で承認(報告者・承認者: 加藤匡邦) | 加藤匡邦 |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。文書番号MNL-007を付与。文書名参照を本リポジトリの相対リンクへ置換 | 加藤匡邦 |