情報セキュリティリスク分析支援サービス

リスク分析の必要性

    情報セキュリティ対策のベストプラクティスは良く知られていますが、実際に想定されるすべてのリスクに十分な対応策を講じることは人的負荷や予算から不可能と言えます。
    情報セキュリティに関するリスク対策の検討にあたっては、自組織の文化・風土、建物等の物理的構造、業務プロセス、情報資産の重要度、想定リスクの大きさと影響度等を踏まえることが重要です。

    一般的に公開されているリスクアセスメント手法が、必ずしも自組織において有効とは限りません。
    自組織にとって有効性の高いリスクアセスメント手法を検討・整備し、定期的に実施することにより、組織に内在する情報セキュリティリスクに見合った情報セキュリティ対策を実施・実装することが可能となり、これこそが、最適な情報セキュリティ対策になります。以下のような問題点・課題に直面されている場合には、本サービスによる支援が有効です。

  • 一般的な情報セキュリティ対策は行っているが、それで十分かどうか分からない
  • 機微な個人情報を保有していたり、大量の個人情報を保有していたりするため、今の対策では十分でないような気がする
  • リスクアセスメントの手法を十分に理解しておらず、導き出したリスク対策に自信が持てない
  • リスクアセスメントに基づいたセキュリティ対策を実施しているにもかかわらず、インシデントが頻発している
  • リスクアセスメントの内容が形骸的になっており、実際のリスク(業務プロセス上のリスク、情報資産のリスク)と乖離している
  • リスクアセスメントが属人的で、有効なアセスメントになっていない

特  色

  • 業種・業態、企業規模、保有している情報資産の重要度及び件数、企業の組織風土・文化等に合わせた形でのリスクアセスメントを行うことができます。
  • リスクアセスメントが初めてであったり、不慣れであったりする場合は、研修会を開催し、スキル習得に向けた支援を行うことができ、リスクアセスメント実施手順(マニュアル)の整備についてもフォロー致します。
  • プライバシーマークやISO27001(ISMS)認証取得で活用できるリスク分析表の作成について支援することができます。
  • 情報資産を取扱う業務プロセスフローが十分に整備されていない場合は、リスクアセスメント用フローの整備から支援をすることができます。このフローからどこにリスクが潜んでいるのかを明確にし易くなります。
  • リスクアセスメントを行うためには、保有する情報資産とその重要度が明確になっていなければなりません。従って、情報資産管理台帳が十分に整備されていない場合は、その整備から支援を致します。

実施ステップ

img_sec03.png

効果・メリット

  • 情報セキュリティ安全管理措置の網羅性を高めると共に、リスク管理策を情報セキュリティポリシー対策基準及び実施手順に反映することで規程の品質を高め、運用の高度化を図ることができます。
  • 情報セキュリティに関する外部監査及び第三者認証(ISO27001、プライバシーマーク)審査へ円滑な対応ができます。
  • 効果的かつ効率的な情報セキュリティ対策(管理策)を策定することができます(過剰な対応を回避する)。
  • 情報セキュリティインシデントの抑止及び低減に役立ちます。
  • 経営層、リスクマネジメント部門、コンプライアンス部門が求める管理策への対応になります。

支 援 実 績

  • 証券会社への全社的情報セキュリティリスクアセスメント実施支援
  • 自治体における情報セキュリティポリシー対策基準及び実施手順策定にあたってのリスク対策特定支援
  • 省庁における情報セキュリティ実施手順改正にあたってのリスク対策特定支援
  • 介護施設への情報セキュリティリスクに関する職員研修実施