Risk Management and Risk Analisys :ISO31000
Design Safety System
ISO 31000:リスクマネジメント-指針
リスク分析の前に、 ISO 31000:2018 リスクマネジメント-指針にリスクのマネジメントには,意思決定し,目的設定、達成し,パフォーマンス改善のため,組織の価値を創り、その価値を人々が使用するためのものの認識が必要です。業態、規模を問わず,成功するか、失敗するかは、不確かで、外部・内部の要素とその影響下に置かれている。
・リスクマネジメントは,
1.戦略決定,目的の達成と十分な情報をベースにしたリスク評価の決定への活動を支援する。
2.組織ガバナンスとリーダーシップの一部,全階層の組織マネジメントの基礎となる。
3.マネジメントシステムの改善に寄与する。
4.組織に関連する全活動の一部でステークホルダとのやり取りをします。
5.人の行動及び文化的要素を含む組織の外部・内部の状況を考慮する。
ISO/IEC 31010リスクマネジメント-リスクアセスメント技法
リスク特定法には以下があり,いずれかを実施する。
− 証拠に基づく方法、例としてはチェックリストによる、データのレビュー
− 系統的チームアプローチ、専門家チームは系統的なプロセスに従って体系的な組織の状況の確定(特定)をし、それらのリスクアセスメント
− HAZOP(Hazard and Operability Studies)の帰能的推論法
ーブレーンストーミング及びデルファイ法を含む技法
技法はどれを使用する時も
リスク特定には、人的要因と組織的要因の適切な考慮をすること。
人的要因及び組織的要因として予想できる事態から逸脱しないように,“ハードウェア”、“ソフトウェア”の事象には人的・組織的な要因をリスク特定プロセスに含めること。
リスクアセスメントのプロセス
 |
|
技法の種類はたくさんあります。
技法の種類:
使用頻度が高い投稿者の技法は太文字です。
ブレーンストーミング、 KJ法、構造化又は半構造化インタビュ、デルファイ法、チェックリスト、予備的ハザード分析(PHA)、HAZOP、ハザード分析及び必須管理点(HACCP)、環境リスクアセスメント、構造化“Whatif”技法(SWIFT)、シナリオ分析、事業影響度分析(BIA)、根本原因分析(RCA)、故障モード・影響解析(FMEA)、故障の木解析(FTA)、事象の木解析(ETA)、原因・結果分析、原因影響分析、防護層解析(LOPA)、決定木解析、蝶ネクタイ分析、信頼性重視保全(RCM Reliability-Centered Maintenance)、スニーク回路解析(SCA)、マルコフ解析、モンテカルロシミュレーション 、ベイズ統計及びベイズネット、FN曲線、リスク指標、リスクマトリックス、費用/便益分析(CBA)、多基準意思決定分析(MCDA)があります。
目的に対する不確かさの影響
リスクの定義を正しく理解する重要なポイントは2つあります。
1、リスクは「(不確かさ=)発生可能性」と「影響」の2要素です。リスクの大きさを見積もり(計算、算出)の「発生可能性×影響」という式はリスクの定義そのものです。
2、リスクは「不確かさの影響」であり、「不確かさの”マイナスの”影響」”マイナスだけ”ではない点に注目ください。すなわち、もたらされる結果がプラスであるか、マイナスであるか・・・ではなく、不確実であることがrisk discussion点です。言い換えますと、「戦争が終わるかもしれない」も「終わらないかもしれない」も、不確実である限り、どちらも不確かです、リスクです。
リスクアセスメントはリスクを見積り評価し、リスクレベルを決定するプロセスです。リスク評定を左図で実施、レベルは右表に評定しながら割付します。
 |
|  |
おさらいします。リスクアセスメントは「リスクの特質を理解し、リスクレベルを決定するプロセス」と定義されています。
リスクの特質とは何でしょうか?
リスクが顕在化する確率や顕在化した場合の影響度合い(深さ、広さ、持続時間)など、リスク大小の判断材料になりうる要素のことが特質です、リスクレベルとは、リスクの大きさの位置の割付づけです。
リスク分析はリスクを特定Risk Identificationするために危険源の洗い出しの後に行い、リスク分析Risk Analysisの次にはリスク評価Risk Evaluation(頻度x影響度の割付)をします。この一連のプロセスをリスクアセスメントRisk Assessment と呼んでいます。そしてリスク対応Risk Treatment、下のプロセスとなります。
|
|
情報セキュリティーのリスク
リスクとは、リスク=情報資産+脅威+脆弱性
リスクは脅威と脆弱性から発生し、個別のリスクによって変化します。リスクの(High Risk)高いリスクには、経営資源を投入し、低いリスクには経営資源を配分しないなど、リスクレベルで投資の考え方の標準化をし、標準に応じたメリハリのある投資を行うことにより、セキュリティ管理を効率的・効果的に行うことができます。
3要素によって決める要点、発生頻度 一般的に発生確率が高いほどリスクが大きいといえます。最近おおい地震、地震リスクが週に1回発生、と年に1回発生では前者の方が高リスクです。予想被害額 ミス、手違い、ITトラブルのインシテントから生じるセキュリティ事故の被害額です。
直接被害だけでなく2次的な被害を念頭に入れ、往々にして2次被害の方が損害額が大きい場合があります。例えは、直接のインシデントが情報漏えいである場合、直接的には損害賠償などのコストですが、生じる企業ブランドの低下など間接的な被害額の方が大きくなることがあります。
リスクマネジメントの体系
リスクマネジメントの体系の中で、リスクコミュニケーションの用語を見つけたら、それはリスク当事者、意思決定者と他の利害関係者との間で行われる情報共有や情報交換のことをリスクコミュニケーションとい言います。
リスクアセスメント
·リスク識別
・リスク分析
·リスク評価(損失の財務的影響度の評価)
リスク対応(リスク対応の回避、最適化等については別に投稿します)
技法(手法)について上述しています。
どの手法でリスクアセスメントを実施するかを明確化しなければなりません。
