教学相長：ＩＳＭＳ／情報セキュリティ

　そこで、リスクの算定式を次のように定義します。

・リスク＝「脅威の評価レベル」×「脆弱性の評価レベル」×「情報資産の重要レベル」

※情報資産の重要レベルは、機密性、あるいは、完全性、可用性が侵害された場合の影響を表していますので、リスクは、機密性、完全性、可用性それぞれについて算出されます。

　重要な資産（資産の重要レベルが高い）が、頻繁に発生している事件（脅威のレベルが高い）に対して、対策が不十分（脆弱性のレベルが高い）な状況下にある場合はリスクが高い。
　資産に価値が無い場合（資産の重要レベルが低い）や、事件（脅威）の発生が考えられない状況下である場合（脅威のレベルが低い）、また、既に、事件（脅威）の発生を想定した充分な対策が講じられている場合（脆弱性のレベルが低い）には、リスクが低い。という訳です。

　リスクのレベルの算定 ( 4.2.1e)3) )が出来ましたので、リスクが受容できるか、又は対応が必要であるかを判断します。 ( 4.2.1e)4) )
　この判断のために、リスク受容基準を設定し、また、リスクの受容可能レベルを特定 ( 4.2.11c)2) )し、ここでは、自動的に、リスクの受容／リスクの対応を判断します。
　ちなみに、「リスク受容基準」とは、何をもって受容とするか？という”物差し”を作ること、「リスクの受容可能レベル」その”物差し”で、幾らであれば、受容するかを判断するレベルを決めることです。
　この”物差し”で計る「リスクの受容可能レベル」は、算定したリスクのレベルと対比できる必要があることは言うまでもありません。

　これにより「リスクの受容可能レベル」にあるリスクは取りあえず置いておき、そのレベル外にあるリスクは「リスク対応」が必要となります。
　次回は、リスク対応について述べます。