11-2-1. リスク基準の確立
必要なリスク基準
リスクアセスメントを実施するにあたって、リスクの重大性を評価するための目安となる条件を決める必要があります。その条件のことをリスク基準と言います。ISMSでは、リスク基準に「リスク受容基準」と「情報セキュリティリスクアセスメントを実施するための基準」を含むよう明示されています。
リスク受容基準
どの程度のリスクであれば受け入れることが可能かの判断基準です。
あるリスクに対して、どの程度のレベル感や優先順位でリスク対応を実施するのか、リスクが顕在化した際にどの程度の大きさまでなら許容するのかを明確にする必要があります。
情報セキュリティリスクアセスメントを実施するための基準
いつ、どのようなときにリスクアセスメントを実施するのかを決める要件です。
リスクアセスメントの実施条件や実施時期、タイミングや頻度などを明確にする必要があります。