情報資産からではなく、業務プロセスからのリスクアセスメントを行う方法
ISO/IEC27001:2013では、情報資産からではなく、業務プロセスからのリスクアセスメントを行うと聞いています。
購入したテンプレート集では、そのあたりがよくわかりません。
「情報資産台帳」と「リスクグループ分析対策表」が、それに関連した資料になるのかと思いますが、この二つの文書のつながりはどうみたらいいのでしょうか。
リスクアセスメントを業務プロセスから行うといった考え方は、2013版からではなく、今までにもありました。
(※ISO/IEC 27001にも、JIPDECのユーザーガイドにも、そのようなことは書かれていませんので、ご了解まで。)
「業務プロセスからリスクアセスメントを行う」というのは、手当たり次第に情報資産やそれに関連する脅威、ぜい弱性を特定するではなく、業務の流れ(業務プロセスの繋がり)を明確にし、その中から資産及び脅威、ぜい弱性を明確にしていく方が分かりやすいということです。
サンプル文書では、リスクマネジメントと明確に関連を記述はしていませんが、「ISMS-A02-D03 適用範囲関連資料」の「業務フロー」がそれに該当することになります。
TSイズムにおける、ISMS認証取得の支援コンサルティングにおきましても、今までに今回のご質問のような指摘を審査機関から受けたこともありました。
その際は、「ISMS-A02-D03 適用範囲関連資料」の「業務フロー」を用いて、口頭で「業務プロセスからのリスクアセスメントに関しては、資産や脅威の調査及び洗い出し時に、この業務フローに示す業務の流れからリスクアセスメントを実施している。」と回答しております。
考え方の概要としましては、①「適用範囲関連資料」の「業務フロー」を完成させた後、②それを参照しながら「情報資産台帳」を作り、③その後「業務フロー」と照らし合わせながら「リスクグループ分析対策表」を作る、といった流れになるかと思います。
「業務フロー」と「リスクマネジメント管理規程」との関連性を明確に記述されるのであれば、以下の箇所に追記することもできます。
3.1 情報資産の洗い出し
(1) (略)
(2) 資産の調査
①洗い出し範囲
各社員等は、「適用範囲関連資料」の「業務フロー」をもとに、適用範囲における
各社員が保有する資産について、②の分類に従い洗い出しを行う。
5.1 関連脅威の洗い出しと見直し
(1)、(2) (略)
(3) 業務プロセス上における脅威の特定
(1)にて確定した脅威をもとに、適用範囲関連資料の「業務フロー」に示された
業務プロセス上における、関連し得る脅威を洗い出し、特定する。
以上、ご参考までに。
