課題ベースのリスクアセスメントへ
ISO27001:2013において、リスクアセスメントに関する要求事項が大きく変わったと言われています。
これまでは、情報資産ごとにリスク(脅威、脆弱性)の洗い出しをおこない、定量的にリスク値を評価する手法が一般的でした。
2013年の改訂により、ISO31000をベースに「自社のセキュリティ上の課題」をあぶり出すことにフォーカスされました。
従来の手法を「資産ベースのリスクアセスメント」、新しい手法を「課題ベースのリスクアセスメント」と呼ぶことにします。
課題の炙り出し方には色々な手法が考えられます。
勿論、課題の炙り出しのために「資産ベースのリスクアセスメント」をおこなうというのも一つの方法です。
現在一番安定した方法と考えられているのが「ベースラインアプローチ」です。
ベースラインをチェックリストに落とし込み、○☓をつける方法等が考えられます。
ところが、ここでも「ツール化」した途端に、資産ベースと同様に形骸化への道を辿ることが多いと言われています。
柔らかなリスク分析手法「リスクコミュニケーション」
そこで「リスク・コミュニケーション」の登場です。
もっと柔らかい方法、人と人が対面して、コミュニケーションを取りながら課題を炙りだす手法です。
ベースラインが頭に入っているコンサルタントや社内の専門家をファシリテーターとして、ステークホルダーを対象に「リスク・コミュニケーション」をおこないます。今までに気づかなかった課題が次から次へと上がってくるはずです。その上で、ベースライン等のロジックにどのように乗せるかを考えるのが良いと思います。
演繹的な方法と帰納的な方法を組み合わせることが有効化の鍵となります。
