リスクマネジメント管理規程の価値の決定について
2016/02/02 (2023/01/16)
ISMSサンプル文書集. 2,711 views
リスクマネジメント管理規程の6P(3)価値の決定にある
機密性、完全性の資産価値が≧4の場合とありますが、
この≧4とは、
機密性、完全性の
“和”が4の場合、
(例えば機密性:2/完全性:2)
(例えば機密性:3/完全性:1)
(例えば機密性:1/完全性:3)
どちらかが4の場合、
重要資産となるのかが判断しかねております。
ISMSサンプル文書「リスクマネジメント管理規程」の重要資産の記述に関してでございますが、「機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とは、「機密性の資産価値が≧4の場合」または「完全性の資産価値が≧4の場合」という意図でございます。
記述としては、ランクが4までしかないので、「機密性もしくは完全性の資産価値が「4」の場合」としても良いかもしれませんね。
ちなみに「重要資産」は、資産価値が異なる全ての資産に対して、規程に記載されているルール全てを適用するのは管理が大変になるため設けています。
サンプル文書の中では、主語として「重要資産は」と記載している個所も多くあります。
なお、ご指摘の箇所は、青字波線でお客様にて自由に設定していただくことが前提となっています。
ご質問にあったようなルールを「重要資産」の基準としても良いかと思います。
