組織というものは,その種類にかかわらず情報セキュリティを損なう脅威にさらされている。その対処は,一般的にIT部門の最重要課題である。ここで述べる情報セキュリティ・リスク管理とは,あらゆる情報セキュリティ管理活動にとって必要不可欠な要素であり,情報セキュリティ管理システム(ISMS:Information Security Management System)の実装と運用の両方に適用しなければならない。現実問題として,情報セキュリティに対する組織の要件を見極め,効果的なISMSを作るには,情報セキュリティ管理に対する系統立てた取り組みが欠かせない。 国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した「ISO/IEC 27005:2008」は,リスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し,情報セキュリティ・リスク管理向けのガイドラインを提示するとともに,I