「A.14.1.2 事業継続及びリスクアセスメント」について
お世話になります。
ISMS第一段階審査でコメントされたことで、質問があります。
管理策A14の事業継続計画の件ですが、リスクアセスメントする対象が文例集では、情報資産になっているのですが、業務プロセスでアセスメントするように言われました。
確かに規格を読むと業務プロセスになっています。
審査員の方もよく間違いやすいと言われていました。
御社でもお気付きになっていましたら、対応についてご指導願います。
書式が用意できておりましたら送付願えませんか。
よろしくお願いします。
弊社でご支援させていただいたお客様の中で、今回頂いたご質問と同様な指摘及びコメントを、審査員から受けたことがないため、ご要望のような書式自体を持ち合わせていません。
よって、ご提供することもできません。
ご了解のほど、よろしくお願いします。
指摘事項は、「A.14.1.2 事業継続及びリスクアセスメント」に関する
「事業継続における・・・。このアセスメントは、すべての業務プロセスを検討し、情報処理施設に限定しないことが望ましいが、・・・」(ISO27002)
のことを指していると思われます。
例えば、様式「事業継続リスクアセスメント評価表」の「関連事業資産」の欄を「業務プロセス」等に変更する、または、同様式の「関連部署」の欄をそれぞれの業務プロセスと関連付けてとらえ処理するなどで対応可能かと思います。
ただ注意しなければいけないのは、ISO27002の14.1.2にもあるように、
「・・・このアセスメントは、・・・・情報セキュリティ特有の結果を含むことが望ましい。・・・」
と記載されているように、関係ないプロセスまで含めないようにするため、情報資産との関連で考えることが大事かと思います。
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも…