何の手順ですか？リスクアセスメントのヒント

何の手順ですか？リスクアセスメントのヒント

1. 検討対象の洗い出し。何の検討かというとリスク管理の検討。と言うことは管理対象の洗い出しになるかな。どういう粒の大きさで捉えるか。これも難しい。普通は管理台帳になっているのでわざわざ洗い出す必要はない。問題はこれまで台帳管理してこなかったもの。これまで台帳管理されてきたものも十分かどうか再検討したい。まあ、何が正解か分からないからやり直す覚悟で簡単に済ましてみよう。
2. 管理対象の管理基準と基準がずれた時のインパクト。どうなると困るのか。ISMSならセキュリティ障害。普通で言えばリスク事象でしょうか。脅威と脆弱性との合算（足し算じゃないよ！）で発生する困った状況。ここも行ったり来たりの前提で軽く。
3. 困らないようにする方法の検討。１つ１つのリスク事象について検討を加える。例えば落下事故を想定する場合、物が落ちないようにする。落ちても困らないように下を柔らかくする。ものを丈夫に作って置く。物を使わないで済ます。置き場所を変える。
4. 「管理対象」（普通は資産・資源）→「リスク事象」（複数あります）→「対策案」（1つのリスク事象に対して複数あります）。これを網羅的にリストしておきます。
5. 実施済みの対策案、未実施で実施可能な対策案、実施不可能な対策案に仕分けします。対策案の有効性評価も行います。例えばトータルの有効性が95%に達したら十分とします。しかし何を持って95%なんて判断が出来るでしょう？ここは「筈｣「看做し」の出番。システム化された、機械仕掛けの施策は有効性（50～90%）、人による対策は有効性（30～70%）と置き、独立した複数の管理策の効果はその積とする。などでしょうか。