「リスク対応シート」「リスク分析・評価表」の作成手順を詳細に記載する必要はないのですか?
「リスクアセスメント管理規程:PMS-B06-100」の4.2.(1)で「・・を”3(リスクの評価)”でリスク評価した脅威・・」とありますが、 『”3(リスクの評価)”』は何処を指しているのですか?
又、当規程または別途手順書として、「リスク対応シート」「リスク分析・評価表」の作成手順を詳細に記載する必要はないのですか?
まず、”3(リスクの評価)”は、「(2)リスク評価」の誤り(誤記)です。
もうし訳ございません。
意味としましては、規程書の「(2)リスク評価」に準拠して、「リスク対応シート」で示す「リスク評価」で「効果」、「容易性」、「コスト」を評価し、「評価値」を算出して、「採用の有無」を決定します。
次に、当規程または別途手順書として、「リスク対応シート」、「リスク分析・評価表」の作成手順を詳細に記載する必要性ですが。
弊社では、現状の規程書での記述、また様式も1つの手順書であると考えております。
よって、詳細な記述は必要は無いと判断しております。
なお、様式の作成手順などをどこまで詳細に記述するかは、企業の方針や企業・従業者のリスクアセスメントについての知識レベルなどにも依存するかと思います。
御社でご検討され、詳細に記述する必要があると判断されたのであれば、詳細に記述された方が良いかと思います。
運用・理解し易いように修正されるのが一番だと思います。
当社の利用する情報資産の「サービス」に、SSLも入れるべきと考えております。 SSLサービスには有効期限があるわけですが、このサービス利用を維持・管理することは、ISO 27001の管理策のどれに該当すると解釈すればよい [...]
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも適用範囲内の業務の中でも除外する [...]
「適合性管理規程 2.6暗号化機能に対する規制」にて国外における暗号化機能に対する規定対策とあったので、弊社では適応外となると思いましたが、規程から該当する要求事項を確認したところ、海外と限定する文言が見当たりません。 [...]
●規程の内容について 「ISMS-B14 適合性管理規程 2.1(2)社内規定」の表に「主管組織等」とありますが、こちらは何を入力する欄なのでしょうか。 文書の所有者(就業規則なら弊社)でしょうか。 ●役割の兼任について [...]
リスクアセスメント規程書についての質問ですが、規程書の中のリスクアセスメント体系のページに「詳細リスクアセスメント」「ベースラインリスクアセスメント」というのがありますが、これはどちらかをやればいいのか、どちらもするのか [...]
リスクグループ分析対策表(記入例)についての質問です。 1F-IT-DT-HDのリスクグループでここに挙げられている脅威の種類が16種類の脅威が選択されていますが、どういった基準でこの16種類の脅威が選択されたのでしょう [...]
文書と記録の切り分けで頭を悩ませております。「情報資産台帳」を例に挙げてご相談させて下さい。 昨年の維持審査にて「情報資産台帳は改定履歴を残すべき」との指摘を受け、弊社では現状「文書」扱いとしております。 しかし「文書管 [...]
貴社から「ISMS構築パッケージ」を購入させていただきましたが、こちらに収録されておりますサンプル文書集の規定およびフォームとJISQ27002の各章との対応表のようなものが有るでしょうか? 大変申し訳ございませんが、現 [...]
週次作業報告書や月次報告書などについて、追加の確認で申し訳ありませんが、確認日や承認日は必要になりでしょうか? (確認印や承認印だけでは問題ありますか?) 週次報告を例にしますと、個人情報保護管理者欄、個人情報保護推進責 [...]
リスク対応計画書に関してですが、これは本来いつ計画しているべきなのでしょうか。 それと、同計画書の「状況」の欄ですが、本年度の計画であれば全て実施予定となるべきなのかと思いますが、その解釈でよろしいのでしょうか? また、 [...]