リスクアセスメント

　リスクアセスメントの手法は、様々は方法が開発されており、それぞれ違う長所や短所があります。最も有名な方法が、ベースラインアプローチ、詳細リスク分析法、組み合わせアプローチ、ライフサイクルアセスメントになります。その他、JIPDECが開発したJRAM法、英国規格協会と英国大蔵省が開発したCRAMM法、米国が開発したALE法があります。ISMSでは、上記のものやそれ以外の方法のいずれも使用する事が可能なのですが、Pマークを取得する際に関しては、ライフサイクルアセスメントしか使用できません。

(1)ベースラインアプローチ
  ベースラインはハードルに例えると分かりやすいかもしれません。最初に「こういったことをする」、「これを当てはめる」というような管理策のチェックリストに近いもの（ベースライン/ハードル）を作成し、これを自社の現状と比較し、「今年はこれを選択し、実行する」、「これは今年は無理なので、来年実施をする」というような形で実施をするアプローチ方法になります。
   この方法は、楽といえば楽ですが、一番最初にベースラインを作成するのにかなりの知識と経験が必要です。又審査会社によっては、このアプローチ方法を使用することは出来ませんので、審査会社を選定する際に注意が必要です。

(2)詳細リスク分析法
   詳細リスク分析法は、様々な所で紹介しているので一番有名かと思われます。この方法は、最初に社内にある情報資産を洗い出し、それを社内で保有する情報資産について「機密性」（外部にしられたりする原因）、「完全性」（壊れたり、変更がされてしまう原因）、「可用性」（使えなくなったり、アクセスが出来なくなる原因）の各観点から、脅威を洗い出します。その後、各情報資産の「資産価値」、「脅威の発生程度レベル」（リスク値）を具体的にすることです。
   この方法は、理論的には一番分かりやすいのですが、あまり深くやりすぎると維持が大変ですので、出来るだけ簡単にやることが必要だと言えます。

(3)組み合わせアプローチ
   組み合わせアプローチは、上記のベースラインアプローチと詳細リスク分析法を混ぜた方法になります。ベースラインアプローチは、最初にベースラインを作成し、実施するかしないかを決定する為、企業独自のリスク、例えば「他社と同じ場所を共有しているため、情報の盗難をされてしまう」という様なリスクに対策をすることを忘れてしまう可能性があります。それに対して、詳細リスク分析法は、上記のような細かいリスクを洗い出し対策を講ずることは可能ですが、「キャビネットに鍵をかけるという行為を一切考えていなかった」等の大きなリスク対策をそっくり忘れてしまうというような現象が起こってしまいます。
   組み合わせアプローチは、二つのアプローチを同時に行い、お互いの短所を長所で補うようなアプローチ方法です。この方法は、様々な文献や資料で推奨されている方法です。

(4)ライフサイクルアセスメント
   情報が発生してからなくなるまで（生まれたから死ぬまで）の流れを視覚化し、それぞれの各局面（収集、利用、保管、保存、委託、提供）でどういったリスクがあるのかを洗い出す方法です。この方法は、Pマークを取得する際に求められる方法であり、この方法以外のリスクアセスメントは認められていません。