リスク基準(受容基準)はどのリスクを許容するかを判断するための基準です。リスクアセスメントとの関係やJISの考え方、SG試験のひっかけポイントを整理します。

sg sg-security-management risk_assessment isms

まず結論

  • リスク基準(受容基準)とは、「どのリスクまで許容するか」を決める判断基準です
  • SG試験では「評価の前に決めるもの」として出題されやすいポイントです

直感的な説明

リスク基準は「どこまでならOKかの線引き」です。

たとえば

  • 情報漏えい → 少しでもNG
  • 業務の遅延 → 多少はOK

というように、
リスクによって許せる範囲が違うはずです。

👉
この「許せるかどうかの線」を決めるのがリスク基準です。

定義・仕組み

リスク基準(受容基準)は、リスクアセスメントの前提として設定します。

① 何を基準にするか

主に次の観点で決めます

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)
  • 法令・契約要件
  • 経営方針・事業影響

👉
JIS Q 31000 の考え方
「リスクの重要度を判断するための基準を事前に定める」

② どのように使うか

リスク評価の場面で使う

  • 基準より高いリスク → 対応が必要
  • 基準内のリスク → 受容(そのまま許容)

👉
評価の“ものさし”として使う

③ リスクアセスメントとの関係

流れとしてはこうなります

  1. リスク基準を決める
  2. リスクを特定・分析
  3. 基準と比較して評価

👉
基準がないと評価できない

どんな場面で使う?

使う場面

  • ISMSでのリスク評価
  • 情報資産の重要度分類
  • 委託先のリスク判断
  • セキュリティ投資の判断

誤解しやすい場面

  • 分析の後に決める → ❌順序が逆
  • 全リスクをゼロにする基準 → ❌現実的でない

よくある誤解・混同

リスク評価との違い

  • ❌ リスク基準=評価結果
  • ⭕ 評価するためのルール

👉 判断基準
「判断する前のルール」か「判断結果」か

リスク受容との違い

  • ❌ 基準=受容そのもの
  • ⭕ 基準に基づいて受容するか決める

👉
基準 → 判断 → 受容

SG試験のひっかけ

  • 「リスクを評価して基準を決める」→ ❌

  • 「基準を決めてから評価する」→ ⭕

  • 「すべてのリスクを排除する」→ ❌
  • 「許容範囲を決める」→ ⭕

👉
順序と“許容”という考え方がカギ

まとめ(試験直前用)

  • リスク基準=許容範囲の線引き
  • 評価の前に決める(ここ重要)
  • 評価の“ものさし”として使う
  • すべて排除は誤り(現実的でない)
  • 迷ったら「基準か結果か」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る