リスクアセスメント手法には、数多くの手法が存在します。
代表的なものに以下の4つがあげられます。
1)ベースラインアプローチ
予め一定の確保すべきセキュリティレベルを設定し、実装するのに必要な対策を選択性、対象となるシステムに一律に適用する。
2)形式的アプローチ
組織や担当者の経験や判断によってリスクを評価する。
3)詳細リスク分析
システムについて詳細なリスクアセスメントを行うアプローチで、情報資産に対し、資産価値、脅威、脆弱性を識別し、評価する。
4)組み合わせアプローチ
ベースラインアプローチと詳細リスク分析を組み合わせる方法。
その手法のどれを採用するかは、その企業の方針にもよりますので、
当社での「個人情報保護管理文書事例集」では、その部分には触れませんでした。
しかし、昨今のプライバシーマークの取得企業は、中小企業が多く、
リスクの分析、評価のご質問を頂く機会が多くなってきました。
中小企業で扱ってる個人情報の種類については、それほど多くないことから、
詳細リクス分析の手法を採用した「リスクアセスメント手順書」を提供致します。
手順書のほかに、リスク分析に必要な様式も併せて、提供させて頂きます。
また、一番使用されているWord、Excel形式ですので、編集も簡単です。
内容:
・ リスクアセスメント手順書.doc
・ 調査シート.doc
・ 個人情報一覧表.xls
・ リスク分析・評価表.doc
・ 個人情報リスク評価一覧.xls
・ 参考:脅威一覧.pfd
・ 参考:脆弱性一覧.pdf