Design Safety System to Risk Analysis Part2
Risk Management and Risk Analysis
ここからは、Part2です。
part 1ではリスクマネジメントについて、プロセスについて、技法についてここから先は、part2です。
Part2です。
目的に対する不確かさの影響
リスクの定義を正しく理解する重要なポイントは2つあります。
1、リスクは「(不確かさ=)発生可能性」と「影響」の2要素です。リスクの大きさを見積もり(計算、算出)の「発生可能性×影響」という式はリスクの定義そのものです。
2、リスクは「不確かさの影響」であり、「不確かさの”マイナスの”影響」”マイナスだけ”ではない点に注目ください。すなわち、もたらされる結果がプラスであるか、マイナスであるか・・・ではなく、不確実であることがrisk discussion点です。言い換えますと、「戦争が終わるかもしれない」も「終わらないかもしれない」も、不確実である限り、どちらも不確かです、リスクです。
リスクアセスメントはリスクを見積り評価し、リスクレベルを決定するプロセスです。リスク評定を左図で実施、レベルは右表に評定しながら割付します。
 |
|  |
おさらいします。リスクアセスメントは「リスクの特質を理解し、リスクレベルを決定するプロセス」と定義されています。
リスクの特質とは何でしょうか?
リスクが顕在化する確率や顕在化した場合の影響度合い(深さ、広さ、持続時間)など、リスク大小の判断材料になりうる要素のことが特質です、リスクレベルとは、リスクの大きさの位置の割付づけです。
リスク分析はリスクを特定Risk Identificationするために危険源の洗い出しの後に行い、リスク分析Risk Analysisの次にはリスク評価Risk Evaluation(頻度x影響度の割付)をします。この一連のプロセスをリスクアセスメントRisk Assessment と呼んでいます。そしてリスク対応Risk Treatment、下のプロセスとなります。
 |
|
Design Safety System 
情報セキュリティーのリスク
リスクとは、リスク=情報資産+脅威+脆弱性
リスクは脅威と脆弱性から発生し、個別のリスクによって変化します。リスクの(High Risk)高いリスクには、経営資源を投入し、低いリスクには経営資源を配分しないなど、リスクレベルで投資の考え方の標準化をし、標準に応じたメリハリのある投資を行うことにより、セキュリティ管理を効率的・効果的に行うことができます。
3要素によって決める要点、発生頻度 一般的に発生確率が高いほどリスクが大きいといえます。最近おおい地震、地震リスクが週に1回発生、と年に1回発生では前者の方が高リスクです。予想被害額 ミス、手違い、ITトラブルのインシテントから生じるセキュリティ事故の被害額です。
直接被害だけでなく2次的な被害を念頭に入れ、往々にして2次被害の方が損害額が大きい場合があります。例えは、直接のインシデントが情報漏えいである場合、直接的には損害賠償などのコストですが、生じる企業ブランドの低下など間接的な被害額の方が大きくなることがあります。
Design Safety System リスクマネジメントの体系
リスクマネジメントの体系の中で、リスクコミュニケーションの用語を見つけたら、それはリスク当事者、意思決定者と他の利害関係者との間で行われる情報共有や情報交換のことをリスクコミュニケーションとい言います。
リスクアセスメント
·リスク識別
・リスク分析
·リスク評価(損失の財務的影響度の評価)
リスク対応(リスク対応の回避、最適化等については別に投稿します)
技法(手法)について上述しています。
どの手法でリスクアセスメントを実施するかを明確化しなければなりません。
