【提言】CIAリスクアセスメントの評価は2段階がよい

CIAのリスクアセスメントの点数付けを細かくして運用するより、
リスクを本当に除去・回避する活動に集中しませんか？。

CIAは情報セキュリティで最も大事な概念で、最初に覚える用語ですよね！

情報セキュリティの【基本のキ】ですね。

CIAが重要な理由は

など、CIAが出てくる場面がたくさんあります。

あなたの組織でのCIA評価はどうなっていますか？

おそらく、3段階または5段階が一般的です。

★5段階の場合

★3段階の場合

よくあるパターンですよね！

説明できる理由でれば、
どの計算式でリスク値を求めてもOK

よくあるのが、

となります。

計算したリスク値から
しきい値を設定して
リスクの高低を決めます。

例えば５段階の場合

●リスク値が80以上なら「高」
●リスク値が20～79までなら「中」
●リスク値が19以下なら「低」
とし
「高」「中」についてリスク管理を実施していく。
とよく考えますよね。

段階数がある程度あると、

などが挙げられますが、

一方、課題や問題点もあります。

などが挙げられますが、

CIAによるリスク評価の目的は、

あいまいにリスク高いものを、
それなりのリスクに低減しても
リスクが残っている以上、リスクであり、
リスク対処したとは言えません。

本記事で、はっきり言います。

ちょっと大胆であり、組織のメンバーやISMS審査官からクレームがあるかもしれません。

として、実際組織のリスクアセスメントシートを作ってみました。

ISMSの運用ははっきり言って、「大変！」です。

リスクアセスメント表の例を挙げてみます。

上図の例では、

リスク評価値は
●1×1×1=1 (リスク低)
●1×1×2=2 (リスク低)
●1×2×2=4 (リスク高)
●2×2×2=8 (リスク高)
の５つしかないため、リスク評価も「高」「低」の２段階で十分となります。

実際に作ってわかりました。

2段階は「シンプル」で「はっきり」する良さもありますが、
●中程度のリスク評価が欲しい！
●監査で雑な区分と指摘される！
●段階的な改善が見れるにしてほしい！
などの反論も受けやすいです。

CIAの評価数の決め方に賛否両論がありますが、決める道しるべは、

今回は、「2段階」の良さを提言しました。

以上、「【提言】CIAリスクアセスメントの評価は2段階がよい」を解説しました。