情報セキュリティ(26) 詳細リスク分析の実施方法②

手順2は、リスク値の算定です。
リスク値は、下記の式で表されます。

リスク値 = 重要度×被害発生可能性

重要度が低ければ、被害発生可能性が高くても、そのリスクは受容可能なものかもしれません。一方で重要度が高いものは、たとえ被害発生可能性が低くても、十分な対策が必要なことがあります。
このバランスを適正なものにするために、それぞれの項目ごとにリスク値を計算し、合計することで、全体のリスク値を算定することができるのです。

重要度は、下記の目安となります。

重要度 2 :事故が発生すると、法的責任を問われる / 取引先・従業員に損害を与える / 事業継続に支障をきたす。
重要度 1 :事業に影響がある。
重要度 0 :事業にほとんど影響がない。

被害発生可能性は、下記の目安となります。

可能性 2 :いつ起きてもおかしくない。
可能性 1 :特定の状況で発生する。
可能性 0 :通常の状況で発生しない。

以上の結果を集計し、リスク算定を行います。絶対的なものではありませんが、客観的にリスクを算定し、経営判断を行うことが重要です。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。