ISO/JISからみるリスク管理
ISOの中でも代表的なISO27001/JISQ27001の中にもリスクアセスメントが定められています。また、リスクマネジメント規格(ISO31000/JISQ31000)というものがあり、それぞれに違いがあります。
ISO27001で定める
リスクアセスメントプロセス
ISO27001では、「機密性」「完全性」「可用性」の3つの特性を損なうリスクに対してリスクアセスメントを行います。これらのプロセスを実施する方法として、詳細リスク分析、ベースラインアプローチ、非形式的アプローチがあります。
ISO31000で定める
リスクマネジメントプロセス
ISO31000では、リスクマネジメントの枠組みを定めています。その中のリスクマネジメントプロセスは、リスクを認識し、対処していく過程のことを言います。
ISO27001は情報セキュリティマネジメントシステムとして、リスクが顕在化した場合の対応や事業継続を意識した取り組みも含まれます。 ISO31000では、リスクに対応するための事前の活動が中心という違いがあります。それぞれの違いを理解し、利用します。特に、ISO31000は認証を目的とした規格ではないため、リスクマネジメントの仕組みが確立されているかを確認し、常に改善を行っていく活動が重要です。
ISO31010/ JISQ31010から見るリスクアセスメント技法
ISO31010はリスクアセスメント上のポイントや実施する上での技法についてまとめられた文書です。実際にリスクアセスメントを行う際に助けとなる技法についてまとめられています。
※ ISO/IEC規格は国際標準化機構(ISO)によって作成された規格です。JIS規格はISO/IEC規格と整合性を保ち日本産業規格(JIS)より発行された日本の国家規格です。本ページで紹介したJIS規格は日本産業標準調査会( https://www.jisc.go.jp/index.html )から閲覧できます。なお、閲覧にあたってはアカウント登録が必要です。