初めて投稿します。
私は会社でISMSの運用に携わっています。最近配属されたばかりですが、まもなくリスクアセスメントの時期です。
これまでうちの会社は、『非形式的アプローチ」でリスクアセスメントをやっていました(先輩にすごく詳しい人がいて、その人が中心でやっていました)。
しかし、今後、これから先もISMSを継続していくことを考えると、いつまでも個人のスキルに任せた方法というのもいただけません。
そこで今年はセオリー通りの『組み合わせアプローチ」を採用しようと考えています。しかし、その先輩も私も、他の同僚も、『詳細リスク分析』はわかりますが、この『ベースラインアプローチ』というのがよくつかめません。
「情報資産の洗出し」の後にやるのだとは思うのですが、「グループ化」の前にやるのか、それとも「グループ化」の後にやるのか、従来のプロセスのどこに組み込めばいいのか、実際の具体的なやり方がさっぱりなのです。
アドバイス、または参考になるサイトや書籍など、何かご意見いただければと思います。
No.1ベストアンサー
- 回答日時:
ISMSは仕組みを回していくことに意義がありますから、余り細部にこだわる必要はないと思います。
私のところでは、ベースラインとリスクアセスメントは切り離して考えています。「対象業務の定義→対象業務フローの書き出し→フローのなかで取り扱う情報資産の洗い出し→情報資産のリスク分析→リスク対策→詳細管理策適用」という流れでのリスクアセスメントの結果にもとづく管理策だけだと、ISO27001に定める詳細管理策133項目の一部に偏ってしまい、とても133もの詳細管理策をカバーすることは出来ないので、ベースライン(基準)として、規程や手順を設けて、必要な管理策をカバーするようにします。
別の言い方をすれば、適用宣言書で「適用するよ」とうたっている詳細管理策のうち、リスクアセスメントにもとづいて詳細管理策を適用しているものを差し引いた残りがベースラインによって適用している詳細管理策です。
ISMSを運用してリスクアセスメントを繰り返すことで、リスクアセスメントに基づいて対応する詳細管理策が増えていけばいいし、ベースラインで策定した規程や手順については、有効性評価のプロセスで「現実的か、ちゃんと守れるか、効果あるか」をチェックしてブラッシュアップしていくことになります。
だから、ベースラインによる詳細管理策についてはリスクアセスメントよりむしろ有効性評価がキモです。
回答ありがとうございました。
お礼が遅くなってすみません。
ご指導いただいたように、あまりかたぐるしく考えるのをやめました。
とりあえず現在作成している規程・手順書や管理策をベースラインとして設定し、特に重要な個人情報に対し、詳細なリスク評価を実施することにしました。
有効性の評価については、監査以外に、以前参加したシンポジウムで、事例として発表があった企業の、地道で泥臭い方法(抜き打ち検査等)を取り入れようと考えています。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 不動産投資・投資信託 投資信託について教えてください。 投資信託を7年程しています。 父親の勧めで保険の満期額500万を銀 6 2023/07/31 06:10
- 新卒・第二新卒 内々定先に就職するか就活続けるべきか 3 2022/09/24 06:03
- いじめ・人間関係 職場の先輩との付き合い方 2 2023/07/08 15:04
- 仕事術・業務効率化 仕事を一から教わらないのは普通ですか 3 2022/09/16 09:27
- 自律神経失調症 自分の存在価値が分かりません。 5 2022/10/25 00:36
- 片思い・告白 好きな人がいる飲み会への参加率 0 2023/05/21 01:33
- その他(セキュリティ) IDと暗証番号・パスワードの管理の画期的かつ簡単便利な方法を考案した。他人に検証してもらう方法は? 5 2023/02/08 08:49
- 会社経営 代表の考え方が気に入らないです 私は今の会社で働いて2年半 元夫と元夫の友人が立ち上げた会社に属して 2 2022/06/19 06:36
- 個人事業主・自営業・フリーランス インボイス制度で色々考えています。 私は一人親方です。 同じ親会社で30年近く専属で働いています。 3 2023/03/23 01:53
- 教育・文化 日本の教育制度が根本的に間違っているから高学歴になればなるほど頭でっかちで心無い連中がう 10 2023/04/03 12:43
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ただでもらった商品は在庫に計...
-
結了決算書の資本金はどうした...
-
データは、会計上の資産に含ま...
-
公益法人会計の基金取崩の仕訳...
-
マンション管理組合の貸借対照表
-
本物の執事やメイドは日本に存...
-
リコース義務、買戻権、回収サ...
-
債務超過会社同士の合併
-
別会社に出資した場合のP/Lにつ...
-
貸倒引当金は資産か負債、貸倒...
-
負債総額って?
-
株式会社を引き継ぐことになり...
-
法人に対する預金封鎖について
-
貸借対照表
-
リスクコントロールとリスクマ...
-
docomoの自社株買いの財務戦略...
-
当座借越
-
自己資本と総資本
-
EBIT、NOPATの出し方
-
収益費用アプローチと資産負債...
おすすめ情報