自社開発ソフトのリスク分析

現在リスクグループ対策表を作成させていただいておりますが、その中で１点確認させていただきたい事項があります。
リスクグループ分類表にございます「プログラム」については、既に完成されたソフト（パッケージソフト）を導入した際を想定して、リスクグループ対策表を作成していくものと理解しております。

しかしながら当社の場合、ソフトウェア開発を主としておりますため、完成されたプログラムのみではなく、作成途中のプログラムも資産としては存在いたします。

また作成途中のものであったとしても、漏えいなどのリスクは存在するかと存じます。

このような場合、リスクグループ対策表はどのように表現すればよろしいでしょうか。

リスクグループ分類表の段階で、既成品と作成途中のもので分ける必要があるとすれば、どのような扱いになるかご教示頂きたくお願い申し上げます。

プログラム（ソフトウェア）については通常、パッケージソフトウェア（主に市販）と自社開発ソフトウェアに大きく分類され、各々でリスクやリスク対策も異なるものもありますので区別して管理されると良いかと思います。

リスクグループ分類表では、プログラム（パッケージ）とプログラム（自社開発：作成途中も含む）として分類し、管理されると良いかと思います。

※リスクグループ分析対策表も同様に区別して管理するようにして下さい。

（補足）
ちなみに、プログラム（パッケージ、自社開発）に関係する主な管理策は、「ISMS-B13
システムの開発および保守管理規程」で規定されておりますのでご確認下さい。

例）
”5.3　プログラムソースコードへのアクセス制御（A.12.4.3）”などは、プログラム（自社開発：作成途中も含む）のみに適用される管理策だと思われます。
通常、プログラム（パッケージ）ではソースコードは提供されないですよね。

「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。それとも…

「適合性管理規程 2.6暗号化機能に対する規制」にて国外における暗号化機能に対する規定対策とあったので、弊社では適応外となると思いましたが、規程から該当する要求事項を確認…

●規程の内容について「ISMS-B14 適合性管理規程 2.1(2)社内規定」の表に「主管組織等」とありますが、こちらは何を入力する欄なのでしょうか。文書の所有者(就業規則なら弊社)でしょうか。 ●役…

リスクアセスメント規程書についての質問ですが、規程書の中のリスクアセスメント体系のページに「詳細リスクアセスメント」「ベースラインリスクアセスメント」というのがあ…

リスクグループ分析対策表（記入例）についての質問です。 1F-IT-DT-HDのリスクグループでここに挙げられている脅威の種類が１６種類の脅威が選択されていますが、どういった基準でこの16種…

文書と記録の切り分けで頭を悩ませております。「情報資産台帳」を例に挙げてご相談させて下さい。昨年の維持審査にて「情報資産台帳は改定履歴を残すべき」との指摘を受け、…

貴社から「ISMS構築パッケージ」を購入させていただきましたが、こちらに収録されておりますサンプル文書集の規定およびフォームとJISQ27002の各章との対応表のようなものが有るでしょうか…

週次作業報告書や月次報告書などについて、追加の確認で申し訳ありませんが、確認日や承認日は必要になりでしょうか？（確認印や承認印だけでは問題ありますか？）週次報告を…

ISMS構築テンプレートを購入させていただきました。 ISMS-B07-D04 稟議書記入サンプルのリスク値欄に、「1（ツール）、12（ルール）」と記入されています。これはどのような意味でしょうか？お教え…

お世話になります。 ISMS第一段階審査でコメントされたことで、質問があります。管理策A14の事業継続計画の件ですが、リスクアセスメントする対象が文例集では、情報資産になっている…

SEARCH