“国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した「ISO/IEC 27005:2008」は,リスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し,情報セキュリティ・リスク管理向けのガイドラインを提示するとともに,ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。このISOの情報セキュリティ・リスク管理プロセスは,組織全体に適用できる。組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム,既存または計画中,特定の状況にある体制(例:事業継続計画)に当てはめられる。
情報セキュリティ・リスク管理プロセスの構成要素と各要素の目的は以下の通り。
・状況規定:リスク管理の境界を定義
”
・リスク分析(リスク特定/評価の段階):リスクの程度を評価
・リスク調査(リスク分析/評価の段階):意志の決定と,組織の目標考慮
・リスク対応(リスク対応/許容の段階):リスクの低減,状態維持,回避,移動
・リスク情報の伝達:意志決定の担当者とそのほかの関係者との間で,リスク情報の交換/共有を通じてどのようにリスクを管理/合意するか
・リスク監視/レビュー:早い段階で組織の視点から好機を捉えることと,刻一刻と変わるリスク状況を随時把握しておくこと
— セキュリティ・リスク管理の新たな標準規格「ISO/IEC 27005:2008」 - 世界のセキュリティ・ラボから:ITpro
