本サイトは2008年度から2013年度まで経済産業省の委託事業として実施した「中小企業情報セキュリティ対策促進事業(指導者育成セミナー)」のサイトです。本事業は2013年度で終了いたしました。 ここに書かれている内容は2013年時点から更新をしていないので、御利用の際には古いコンテンツであることをご承知おきの上御利用下さい。
情報セキュリティの基礎
2-4 リスクアセスメントとリスク対応
現実に自社が持つ情報資産(経営情報や預かり情報と、それを扱うITシステムや、紙を含む記録媒体)について、どのようなリスクが存在するのか、調査して洗い出し、そのインパクトを評価して、対応を決める必要があります。この一連の作業をリスクアセスメントといいます。
リスクアセスメント
リスクアセスメントと、それに基づく対応の流れは以下のようになります。


リスクアセスメントの代表的方法として以下のものがあります。
  • ギャップ分析によるリスクアセスメント(ベースラインアプローチ)
  • 討議によるリスクアセスメント(非形式アプローチ)
リスクへの対応
リスク評価に基づき、リスクへの対応を行います。以下の図の考え方に基づき、経営リスク管理の一環として判断・選択します。リスクごとに自社にとって最適の対応を選びます。
▲ページトップへ