リスクマネジメント


リスクマネジメントってなにする?


経済産業省『先進企業から学ぶ事業リスクマネジメント』
実践テキスト--- 企業価値の向上を目指して では


リスクマネジメントとは


リスクを全社的な視点で合理的かつ最適な方法で管理して

リターンを最大化することで、企業価値を高める活動


と定義しています


リスクマネジメントは、対象者を選びません
大企業のみならず、中小企業、個人などあらゆる組織や人に関係があります。重大なインシデントや災害、不祥事が絶えず、第4次産業革命により「働き方の変化」「ICT/IoT/AIなどの技術進化」により個人も組織もリスクと機会があふれています。リスクマネジメントが注目され、数多くの出版物が出回っており、大手から中小企業・官公庁を問わず、『リスクマネジメント研修』の依頼が急増しています。

私たちISMS Societyの対応

リスクマネジメントの重要性が広く認識されてきましたが、実務で運用して成果を得ることは容易ではありません。
まずはリスクマネジメント構造を明確化した上で研修体系を策定しました。
エンタープライズリスクマネジメント(全社的リスクマネジメント)体制を整備・運用を最終目標とし
段階と階層別に「何を」「どのように」実施すればよいかについて修得するための研修体系です。
本体系に基づいて基本教材をCloud for ISMS(本カテゴリ)で公開します。

====================================================================================

情報セキュリティリスク管理
・リスク基準を策定する 
・リスク管理様式サンプル
---  『リスク管理規程』をつくる をご覧ください

====================================================================================



リスクマネジメント研修体系


段階と階層別に「何を」「どのように」実施すればよいかについて事例を基に修得するためのコース体系です。

R1:リスク管理基礎(あらゆるビジネスマンのリスクマネジメント入門)         
   R1-1:ミドルマネージャのためのリスクマネジメント(部門部署における課題解決)
   R1-2:管理者層のマネジメント能力向上(リスク管理における部下育成とプロセス管理)
   R1-3:ラインスタップのためのリスクマネジメント  (自らの仕事とライフスタイルに対応)

R2:リスクアセスメント実践 (情報セキュリティリスク管理)
R3:クラウドセキュリティリスク管理(クラウド利用におけるリスク管理)
R4:エンタープライズリスクマネジメント(内部統制のための管理体制)
R5:危機管理体制を確立するために(事業継続管理との整合)

研修体系に基づく『教材提供』『講師育成』『講師派遣』実施中です

ー 講師派遣(お見積)依頼
ー 教材提供(お見積)依頼


稼ぐ力を支えるリスクマネジメン


経産省:中小企業白書2016年版『稼ぐ力を支えるリスクマネジメント』
グローバル化や情報化の進展、取引構造の変容等を背景に企業の経営環境は大きく変化しています。これまで以上に世界規模で不確実性が増大しており、企業は様々なリスクに直面しています。企業が成長・発展を遂げるためには、リスクを許容し成長に向けた投資を行うとともに、将来発生する費用を防止するため、潜在的に抱えるリスクを把握し、そのリスクに適切な対応を行うことが必要です。

しかしながら、リスクに対する認識が不足していることが多く、対策が十分に進んでいるとはいえません。

ISMSはリスクマネジメントプロセスを適用することにより、情報の「機密性」「完全性」「可用性」を維持し、かつ、リスクを適切に管理しているという信頼(性)を利害関係者に与えることが目的です

 http://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_1_1.html


情報セキュリティリスクマネジメントとは


脅威にさらされている状態を見逃さず、発生頻度やぜい弱性(弱み)につけ込まれないようにして
金銭的な被害をなくし・余計な時間を費やさないようにし(時間の浪費)・不安から解放されることで
経営目標・事業目標達成に資源を集中させて企業価値を高めることにより、健康で豊かな未来を創ること

情報の「完全性」「可用性」を維持向上により『生産性』を高めること


少々大げさですが、私たちの定義です

JIS Q 31000 :2010 リスクマネジメント−原則及び指針より引用しました
Risk management-Principles and guidelines

この規格は,リスクの運用管理のためのプロセスを組織の全体的な統治,戦略及び計画策定,運用管理,報告プロセス,方針,価値観並びに文化の中に統合することを目的とした枠組みを,組織が構築,実践及び継続的に改善することを推奨しています。リスクマネジメントは,あらゆる時点で,数多くの領域及び階層において,組織全体に適用することも,特定の部門,プロジェクト及び活動に適用することができます。



リスクの運用管理がこの規格に従って実践され
維持されると、組織は
次の事項を行うことができる


  • 目的達成の起こりやすさを増加させる。
  • 事前管理を促す。
  • 組織全体でリスクを特定し,対応する必要性を認識する。
  • 機会及び脅威の特定を改善する。
  • 関連する法律及び規制の要求事項並びに国際的な規範を順守する。
  • 義務的及び自主的報告を改善する。
  • 統治を改善する。
  • ステークホルダの信頼及び信用を改善する。
  • 意思決定及び計画のための信頼できる基盤を確定する。
  • 管理策を改善する。
  • リスク対応のために資源を効果的に割り当てて使用する。
  • 業務の有効性及び効率を改善する。
  • 環境保護とともに健康及び安全のパフォーマンスを高める。
  • 損失の予防及びインシデントマネジメントを改善する。
    注記 インシデントは,規模の大小にかかわらず何らかの事象が発生した状態を表している。
    これ以降は,“事態”と訳す。
  • 損失を最小化する。
  • 組織的学習を改善する。
  • 組織の適応力を改善する。


次のような広範なステークホルダの
ニーズを満たすことを意図している


  1. 組織の中でリスクマネジメント方針の開発に責任をもつ人
  2. リスクが,組織全体又は特定の領域,プロジェクト若しくは活動で,効果的に運用管理されていることを確実にすることにアカウンタビリティをもつ人
  3. リスクの運用管理において,組織の有効性を評価する必要のある人
  4. 規格,指針,手順及び実務基準の特定の内容について,全体としてでも又は部分的にでも,リスクをどのように運用管理すべきかを設定しているこれらの文書の開発者多くの組織における現状の運用管理の実務及びプロセスは,リスクマネジメントの構成要素を含んでおり,また,多くの組織は,特定の種類のリスク又は周辺状況のために正式なリスクマネジメントプロセスを既に採用している。そのような場合には,組織はこの規格に照らし合わせて,既存の実務及びプロセスについて,要点を押さえたレビューをすることを決定できる。


 用語解説

JIS Q 31000 2.21 リスク分析(risk analysis):リスクの特質を理解し,リスクレベルを決定するプロセス。
注記 1 リスク分析は,リスク評価及びリスク対応に関する意思決定の基礎を提供する。
注記 2 リスク分析は,リスクの算定を含む。

JIS Q 31000 2.25 リスク対応(risk treatment):リスクを修正するプロセス。
注記 1 リスク対応には,次の事項を含むことがある。
− リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回避すること。
− ある機会を追求するために,リスクを取る又は増加させること。
−リスク源を除去すること。
−起こりやすさを変えること。
−結果を変えること。
−一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。
− 情報に基づいた意思決定によって,リスクを保有すること。
注記 2 好ましくない結果に対処するリスク対応は,“リスク軽減”“リスク排除”“リスク予防”及び“リスク低減”と呼ばれることがある。
注記 3 リスク対応が,新たなリスクを生み出したり,既存のリスクを修正したりすることがある


リスクマネジメント原則



リスクマネジメントを効果的なものにするために,
次の原則をすべての階層で順守することが望ましいとされています


  1. リスクマネジメントは,価値を創造し,保護する
  2. リスクマネジメントは,安全衛生,保安,法律及び規制の順守,社会的受容,環境保護,製品品質,統治,世評などの,目的の明確な達成及びパフォーマンスの改善に寄与する
  3. リスクマネジメントは,組織のすべてのプロセスにおいて不可欠な部分である。 
  4. リスクマネジメントは,組織の主要な活動及びプロセスから切り離された単独の活動ではない
  5. リスクマネジメントは,経営の責任の一部であり,戦略的な計画策定,並びにプロジェクトマネジメント及び変更マネジメントのすべてのプロセスを含む,組織のすべてのプロセスにおいて不可欠な部分である
  6. リスクマネジメントは,意思決定の一部である。 
  7. リスクマネジメントは,意思決定者が情報に基づいた選択を行い,活動の優先順位付けを行い,活動の選択肢を見分けることを援助する
  8. リスクマネジメントは,不確かさに明確に対処する。 
  9. リスクマネジメントは,不確かさ及びその特質並びに不確かさへの対処について,明確に考慮する
  10. リスクマネジメントは,体系的かつ組織的で,時宜を得たものである。 リスクマネジメントの体系で,時宜を得た組織的な取組みは,効率及び一貫性があり,比較可能な信頼できる結果に寄与する
  11. リスクマネジメントは,最も利用可能な情報に基づくものである
  12. リスクの運用管理のプロセスへのインプットは,過去のデータ,経験,ステークホルダからのフィードバック,観察所見,予測,専門家の判断などの情報源に基づくものである。しかし,意思決定者は,利用するデータ又はモデルのあらゆる限界,及び専門家の間の見解の相違の可能性について自ら認識し,これらを考慮に入れる
  13. リスクマネジメントは,組織に合わせて作られる。
  14. リスクマネジメントは,組織が置かれている外部及び内部の状況,並びにリスク特徴と整合する
  15. リスクマネジメントは,人的及び文化的要素を考慮に入れる
  16. リスクマネジメントでは,組織の目的の達成を促進又は妨害することがある外部及び内部の人々の様々な能力,認知及び意図を認識する
  17. リスクマネジメントは,透明性があり,かつ,包含的である。 ステークホルダ及び特に組織のすべての階層における意思決定者の適切かつ時宜を得た参画によって,リスクマネジメントが現況に即し,最新なものであり続けることを確実にする。また,参画はステークホルダの立場を適切に反映し,リスク基準を決定する場合に,ステークホルダの見解に配慮することを可能とする
  18. リスクマネジメントは,動的で,繰り返し行われ,変化に対応する
  19. リスクマネジメントは,継続的に変化を察知し,対応する。それは,外部及び内部で事象が発生し,状況及び知識が変化し,モニタリング及びレビューが実施されるにつれて,新たなリスクが発生したり,また,既存のリスクの中には変化したり,又はなくなったりするものがあるからである
  20. リスクマネジメントは,組織の継続的改善を促進する。 
  21. 組織は,自らのリスクマネジメントの成熟度を改善するために,他のすべての側面とともに,戦略を策定し,実践する


ISO/IEC 27005 情報セキュリティリスクマネジメント


CONTENTS 


1.情報セキュリティリスクマネジメントプロセス
2.状況設定
3.情報セキュリティリスクアセスメント
4.情報セキュリティリスク対応
5.リスクの受容・モニタリング&レビュー


ANNEX

1.情報セキュリティリスクマネジメントプロセスの適用範囲及び境界の定義
2.資産の特定及び評価並びに影響アセスメント
3.典型的な脅威の例
4.ぜい弱性及びぜい弱性アセスメントの方法
5.情報セキュリティリスクアセスメントアプローチ
6.リスクの修正の制約

※詳細解説は「情報セキュリティ管理基準」をご覧ください(会員専用)


ISMS Society 会員(Cloud for ISMSアカウント)の皆様は、

本カテゴリ内のコースをクリックしてご覧ください

 情報セキュリティリスク管理については以下のコースをご覧ください

・情報セキュリティリスク管理規程(リスク基準)
・情報セキュリティリスク管理様式(サンプル)


会員登録(Cloud for ISMS利用)をご希望の方は、▶︎こちらから