企業のセキュリティリスクを査定するガイドGMITS

前回（第2回 認証取得のためのISMSガイド）、ISMS適合性評価制度やBS7799 Part2に基づく認証制度のガイドを紹介した。ISMS構築作業におけるマネジメントの枠組みの確立について、最も狙いとするところであり、かつ時間を有するプロセスが、「リスク評価を行う」「管理するリスクを決定」「実施すべき管理目的と管理策を選択する」という項目である（図1参照）。これが今回と次回にかけて説明する「リスクアセスメント」および「リスクマネジメント」というプロセスである。 リスクアセスメント、リスクマネジメントの必要性 前回、ISMSを導入するということは、認証基準に記載されている詳細管理策を安易に選択すればよいわけではない点を挙げた。そして必要以上の投資を避けるためにも、何を管理策として取り入れるべきかは、要求されるセキュリティ要件やリスクアセスメントなどを通じて決定することが肝要であることを理解

[setamise]

BS7799が推奨するリスクアセスメント手法はPD3000シリーズとISO/IEC TR 13335（GMITS）。後者は定性的または相対的な手法として知られている。

[keromi55]

情報セキュリティマネジメントシステム基礎講座

[masakanou]

ISO/IEC13335