「A.14.1.2 事業継続及びリスクアセスメント」について
お世話になります。
ISMS第一段階審査でコメントされたことで、質問があります。
管理策A14の事業継続計画の件ですが、リスクアセスメントする対象が文例集では、情報資産になっているのですが、業務プロセスでアセスメントするように言われました。 確かに規格を読むと業務プロセスになっています。 審査員の方もよく間違いやすいと言われていました。 御社でもお気付きになっていましたら、対応についてご指導願います。
書式が用意できておりましたら送付願えませんか。 よろしくお願いします。
弊社でご支援させていただいたお客様の中で、今回頂いたご質問と同様な指摘及びコメントを、審査員から受けたことがないため、ご要望のような書式自体を持ち合わせていません。 よって、ご提供することもできません。 ご了解のほど、よろしくお願いします。
指摘事項は、「A.14.1.2 事業継続及びリスクアセスメント」に関する 「事業継続における・・・。このアセスメントは、すべての業務プロセスを検討し、情報処理施設に限定しないことが望ましいが、・・・」(ISO27002) のことを指していると思われます。
例えば、様式「事業継続リスクアセスメント評価表」の「関連事業資産」の欄を「業務プロセス」等に変更する、または、同様式の「関連部署」の欄をそれぞれの業務プロセスと関連付けてとらえ処理するなどで対応可能かと思います。
ただ注意しなければいけないのは、ISO27002の14.1.2にもあるように、 「・・・このアセスメントは、・・・・情報セキュリティ特有の結果を含むことが望ましい。・・・」 と記載されているように、関係ないプロセスまで含めないようにするため、情報資産との関連で考えることが大事かと思います。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
