ベースラインアプローチの実際が知りたい

初めて投稿します。
私は会社でISMSの運用に携わっています。最近配属されたばかりですが、まもなくリスクアセスメントの時期です。
これまでうちの会社は、『非形式的アプローチ」でリスクアセスメントをやっていました（先輩にすごく詳しい人がいて、その人が中心でやっていました）。
しかし、今後、これから先もISMSを継続していくことを考えると、いつまでも個人のスキルに任せた方法というのもいただけません。
そこで今年はセオリー通りの『組み合わせアプローチ」を採用しようと考えています。しかし、その先輩も私も、他の同僚も、『詳細リスク分析』はわかりますが、この『ベースラインアプローチ』というのがよくつかめません。
「情報資産の洗出し」の後にやるのだとは思うのですが、「グループ化」の前にやるのか、それとも「グループ化」の後にやるのか、従来のプロセスのどこに組み込めばいいのか、実際の具体的なやり方がさっぱりなのです。
アドバイス、または参考になるサイトや書籍など、何かご意見いただければと思います。

No.1 ベストアンサー 回答者： GoGoTigers 回答日時： 2007/03/13 15:11

ISMSは仕組みを回していくことに意義がありますから、余り細部にこだわる必要はないと思います。

私のところでは、ベースラインとリスクアセスメントは切り離して考えています。

「対象業務の定義→対象業務フローの書き出し→フローのなかで取り扱う情報資産の洗い出し→情報資産のリスク分析→リスク対策→詳細管理策適用」という流れでのリスクアセスメントの結果にもとづく管理策だけだと、ISO27001に定める詳細管理策133項目の一部に偏ってしまい、とても133もの詳細管理策をカバーすることは出来ないので、ベースライン(基準）として、規程や手順を設けて、必要な管理策をカバーするようにします。

別の言い方をすれば、適用宣言書で「適用するよ」とうたっている詳細管理策のうち、リスクアセスメントにもとづいて詳細管理策を適用しているものを差し引いた残りがベースラインによって適用している詳細管理策です。

ISMSを運用してリスクアセスメントを繰り返すことで、リスクアセスメントに基づいて対応する詳細管理策が増えていけばいいし、ベースラインで策定した規程や手順については、有効性評価のプロセスで「現実的か、ちゃんと守れるか、効果あるか」をチェックしてブラッシュアップしていくことになります。

だから、ベースラインによる詳細管理策についてはリスクアセスメントよりむしろ有効性評価がキモです。

この回答へのお礼

回答ありがとうございました。
お礼が遅くなってすみません。
ご指導いただいたように、あまりかたぐるしく考えるのをやめました。
とりあえず現在作成している規程・手順書や管理策をベースラインとして設定し、特に重要な個人情報に対し、詳細なリスク評価を実施することにしました。
有効性の評価については、監査以外に、以前参加したシンポジウムで、事例として発表があった企業の、地道で泥臭い方法（抜き打ち検査等）を取り入れようと考えています。

お礼日時：2007/06/03 14:55