効果的なリスク分析とは

また、コンサルティング会社でもリスク分析はさまざまな方法を考えており、現実的にはまだ手探り状態です。

もし、あなたが情報セキュリティ対策コンサルタントをお探しの場合は、リスク分析手法の詳細を聞くと違いが良く分かると思います。リスク分析は、コンサルティング会社のノウハウであり、なかなか世の中の文献などにも詳細されているケースが少ないと思います。
しかし、リスク分析だけで数千万円という高価なコンサルティング会社もあれば、数百万円という会社もあります。これが正しいという手法が確立していない現在は、どちらも正しいのですが、あまり時間とコストをかけ過ぎない方がよいでしょう。
なぜなら、コンサルタントによる詳細なリスク分析を行っても、いずれは組織の従業員が継続的に運用できなければ意味がないからです。
つまり、提供するサービスの変更、扱う情報の変更、情報システムの大幅な変更、人事異動、事務所の引越しといったイベントがあった場合は、リスク分析を再度行う必要が出てきますが、都度コンサルティング会社へ委託しても莫大な費用がかかってしまうために、組織内の人材でまかなう他はないからというのが理由です。

結論としては、どのような手法を採用してもよいのですが、継続的にできるリスク分析手法を採用することが、ISMSを維持できる大きなポイントとなります。