「リスク対応シート」「リスク分析・評価表」の作成手順を詳細に記載する必要はないのですか?
管理規程に関する質問です。
「リスクアセスメント管理規程:PMS-B06-100」の4.2.(1)で「・・を”3(リスクの評価)”でリスク評価した脅威・・」とありますが、 『”3(リスクの評価)”』は何処を指しているのですか?
又、当規程または別途手順書として、「リスク対応シート」「リスク分析・評価表」の作成手順を詳細に記載する必要はないのですか?
まず、”3(リスクの評価)”は、「(2)リスク評価」の誤り(誤記)です。
もうし訳ございません。
意味としましては、規程書の「(2)リスク評価」に準拠して、「リスク対応シート」で示す「リスク評価」で「効果」、「容易性」、「コスト」を評価し、「評価値」を算出して、「採用の有無」を決定します。
次に、当規程または別途手順書として、「リスク対応シート」、「リスク分析・評価表」の作成手順を詳細に記載する必要性ですが。
弊社では、現状の規程書での記述、また様式も1つの手順書であると考えております。
よって、詳細な記述は必要は無いと判断しております。
なお、様式の作成手順などをどこまで詳細に記述するかは、企業の方針や企業・従業者のリスクアセスメントについての知識レベルなどにも依存するかと思います。
御社でご検討され、詳細に記述する必要があると判断されたのであれば、詳細に記述された方が良いかと思います。
運用・理解し易いように修正されるのが一番だと思います。
お世話になります。
ISMS第一段階審査でコメントされたことで、質問があります。
管理策A14の事業継続計画の件ですが、リスクアセスメントする対象が文例集では、情報資産になっ…