リスク分析シートの使い方
前回投稿「中小企業のセキュリティ対策ガイドライン 付録7リスク分析シート①」で情報資産、機密性・完全性・可用性についてお話しました。
本投稿では付録7のリスク分析シートを実際に作成していきたいと思います。
リスク分析シート作成の流れ
全体の流れは以下の通りです。
(IPA「リスク分析」説明資料より抜粋)
シートの構成
付録7リスク分析シートはExcelファイルであり、全体では以下のシートがあります。
(IPA「中小企業のセキュリティ対策ガイドライン」付録7より抜粋)
このうち、実際に入力するのは「情報資産管理台帳」、「脅威の状況」、「対策状況チェック」の3シートになります。
上表には出ていませんが、ファイルの一番左に「利用方法」というシートがありますので、「台帳記入例」シートとあわせて一読いただければと思います。
「脅威の状況」、「対策状況チェック」は、プルダウンから選択肢を選ぶだけですので、労力がかかるのは情報資産管理台帳です。
情報資産管理台帳
「台帳記入例」に基づき、実際にO列まで入力した結果です。
わからない用語があれば、「利用方法」に説明があります。
P列より右は、今は気にしなくて大丈夫です。
脅威の状況
次に「脅威の状況」の入力です。
脅威というのは、事故・トラブルのことです。
これが、どのくらいの頻度で起きるか、をプルダウンリストから選択します。
対策状況チェック
最後の入力は「対策状況チェック」です。
こちらもプルダウンリストから選択します。
ここまで入力し終わると、上記の「脅威の状況」シートの対策状況が表示されているはずですので、確認してください。
診断結果
この時点で「診断結果」シートを見てみましょう。
情報セキュリティ関連規程策定の必要性欄を確認してください。
ここが”ー”以外の◎・○・△になっている場合は、関連規程策定の検討をする必要があるということになります。
関連規程の策定については、「中小企業のセキュリティ対策ガイドライン」ページの付録5「情報セキュリティ関連規程(サンプル)」を参考に必要な規程を作成します。
中小企業診断士として経営相談、小さなIT対応相談もOKです!
- Excelでデータ管理しているけど、もっと効率化したい
- システム導入したいけど何から手をつけてよいか……
- ITや経営で気軽に相談できる相手がいれば などなど
|
|
社長のお悩みお聞かせください!
