詳細リスクアセスメントとベースラインリスクアセスメント。どちらかをやればいいのか?
リスクアセスメント規程書についての質問ですが、規程書の中のリスクアセスメント体系のページに「詳細リスクアセスメント」「ベースラインリスクアセスメント」というのがありますが、これはどちらかをやればいいのか、どちらもするのかどちらでしょうか?
JIS規格の解釈にもよるかと思いますが、殆どの審査登録機関が2つのリスクアセスメントの実施を要求することが多いと思います。
よって、弊社がご提供させていただいているサンプル文書においても、2つのリスクアセスメント手法を採用する旨の記載をしております。
また、コンサルティングなどにおいても、2つのリスクアセスメントの実施を顧客にお願いしています。
弊社の経験からではありますが、どちらか1つの実施のみだと指摘を受ける可能性が大きいと思います。
ご注意下さい。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
