情報セキュリティ(26)　詳細リスク分析の実施方法②

手順2は、リスク値の算定です。
リスク値は、下記の式で表されます。

リスク値 = 重要度×被害発生可能性

重要度が低ければ、被害発生可能性が高くても、そのリスクは受容可能なものかもしれません。一方で重要度が高いものは、たとえ被害発生可能性が低くても、十分な対策が必要なことがあります。
このバランスを適正なものにするために、それぞれの項目ごとにリスク値を計算し、合計することで、全体のリスク値を算定することができるのです。

重要度は、下記の目安となります。

重要度 2 ：事故が発生すると、法的責任を問われる / 取引先・従業員に損害を与える / 事業継続に支障をきたす。
重要度 1 ：事業に影響がある。
重要度 0 ：事業にほとんど影響がない。

被害発生可能性は、下記の目安となります。

可能性 2 ：いつ起きてもおかしくない。
可能性 1 ：特定の状況で発生する。
可能性 0 ：通常の状況で発生しない。

以上の結果を集計し、リスク算定を行います。絶対的なものではありませんが、客観的にリスクを算定し、経営判断を行うことが重要です。