情報セキュリティの基礎
2-4 リスクアセスメントとリスク対応
現実に自社が持つ情報資産(経営情報や預かり情報と、それを扱うITシステムや、紙を含む記録媒体)について、どのようなリスクが存在するのか、調査して洗い出し、そのインパクトを評価して、対応を決める必要があります。この一連の作業をリスクアセスメントといいます。
リスクアセスメント
リスクアセスメントと、それに基づく対応の流れは以下のようになります。


リスクアセスメントの代表的方法として以下のものがあります。
  • ギャップ分析によるリスクアセスメント(ベースラインアプローチ)
  • 討議によるリスクアセスメント(非形式アプローチ)
リスクへの対応
リスク評価に基づき、リスクへの対応を行います。以下の図の考え方に基づき、経営リスク管理の一環として判断・選択します。リスクごとに自社にとって最適の対応を選びます。
▲ページトップへ