ISMS のリスクアセスメントについて勘違いしてたのでメモ。

こういうページにちゃんと書いてあることですが。。
＠IT：ISMS構築で重要なリスクアセスメントの手法：GMITS-Part3

ISMS では現状のリスクを認識する必要があって、そのために「リスクアセスメント」を行なうんですが、その方法の一つに「詳細リスク分析」というのがあります。(「詳細リスク分析」自体やり方は色々とあると思いますが自分が知っているのは) 情報資産を洗い出した上で、その価値、リスク、脅威、脆弱性を数値化します。それらの値からリスク値というのを算出して、それを元にどういう対策が必要か考える感じです。

で自分はいつの間にか「詳細リスク分析」＝「リスクアセスメント」とどっかで勘違いし始めたのですが、実際には他の方法もあって、例えば「ベースラインアプローチ」があります。「詳細リスク分析」ではリスクを自分たちで考えなければいけませんが、どうしてもそれには限界があります。ありとあらゆるリスクを想像で網羅する、というのは難しい話です。それで「ベースラインアプローチ」といって、こういうことの対策をするともっといいよーみたいなあらかじめ作られたリストを元に、ここも対策するといいよねーみたいな感じで「詳細リスク分析」の穴を埋めるってのがベタなリスクアセスメントのやり方っぽいです。

自分はアセスメント＝評価という認識なんで、リスト見ながらこれやりましょう、みたいな感じのベースラインアプローチのどこがリスクを評価してるの…と思ってしまいますが、それも含めてリスクアセスメントだそうです。