ISMSのリスクアセスメントに「ギャップ分析対策表(シート)」は必須ですか?
リスクアセスメントについてですが、ISMS構築スケジュールで進めると
1.ギャップ分析対策表
2.リスクグループ対策表
の手順で行なうようにあります。
違いがわからないのですが、サンプルを見る限り、 「1.ギャップ分析対策表」はCAIが意識されておらず、ギャップを洗い出す表、「2.リスクグループ対策表」はCAI単位に、リスクを洗い出し、対策に繋げる表に感じます。
「1.ギャップ分析対策表」は必須でないような気がしますが・・・
教えて下さい。
結論から申し上げますと、手法自体は組織が自由に決定できるため、形式として「必須」ではありません。しかし、サンプル文書でこれらを併用しているのには、審査対策と実務効率を両立させるための明確な理由があります。
ご指摘の通り、「ギャップ分析」は全体の底上げ(ベースライン)を、「リスクグループ分析」は個別の深掘り(詳細分析)を目的としています。
1. 「ギャップ分析対策表」の役割:全体像の把握と規格対応
これは「ベースラインアプローチ」と呼ばれる手法で、JIS Q 27001の附属書A(管理策)などを基準に、自社の現状との差分を洗い出すものです。
- なぜ必要なのか:
JIS Q 27001:2023の「6.1.3 情報セキュリティリスク対応」の項目「c)」では、決定した管理策を「附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証する」ことが求められています。 - 実務上のメリット:
個別のリスクを一つひとつ検討する前に、組織として「最低限これだけはやっておくべきルール」が守られているかを効率的に点検できます。CIA(機密性・完全性・可用性)の評価を行う前段階の「土台作り」としての役割を担います。
2. 「リスクグループ分析対策表」の役割:重要資産の特定と対策
こちらは「詳細リスク分析」と呼ばれる手法で、質問者様が仰る通り、資産グループごとにCIAの観点から脅威と脆弱性を分析します。
- なぜ必要なのか:
全ての資産に同じレベルの対策を施すのは非効率です。この表を使うことで、「特に機密性が高いデータ」や「止まっては困るシステム(可用性)」を特定し、優先順位をつけてリソースを配分することが可能になります。 - 独自性のポイント:
サンプル文書の様式は、全ての資産を一つずつ分析する手間を省くため、「保管形態や特徴が似ている資産をグループ化」して分析できるように設計されています。これにより、網羅性を保ちつつ作業工数を大幅に削減できます。
3. なぜ「2つを組み合わせる」のか(組み合わせアプローチ)
この2段構えを推奨しているのは、以下の「良いとこ取り」ができるからです。
- 漏れの防止:
ギャップ分析で「標準的な対策」の漏れを防ぐ。 - 重点管理:
リスクグループ分析で「自社固有の重要なリスク」を特定する。 - 審査への説得力:
審査員に対し、「規格の管理策(附属書A)との比較検証も済んでおり、かつ自社固有のリスクも資産レベルで検討している」と、二段構えの論理的根拠を提示できます。
4. 運用のアドバイス
もし「社内工数を削減したい」という場合は、まず「ギャップ分析」で組織全体のルールを固め、「リスクグループ分析」では特にリスクが高いと思われる資産群に絞って重点的に分析を行うといった調整も可能です。
