少人数の組織でのリスクアセスメントは、もう少し簡略化された方法でも良いのでは?
ISMS構築で1件 ご教授いただけませんでしょうか。
リスクアセスメントの手順、御社の資料で
① 資産の機密性・完全性・可用性 評価 と重要資産の特定
② 脅威洗い出し
③ リスクグループ分析
④ ギャップ分析
⑤ 適用宣言書
の手順となっております。
私どものような少人数の組織では、かなりのボリュームになります。
要求事項を見ますと 6.計画 には あまり細かくは定義されておらず、6.1.2 c) 情報の機密性・完全性・可用性の喪失に伴うリスクを特定するために、リスクアセスメントのプロセスを特定する。
d) 現実的な起こりやすさについてアセスメントを行う。
リスクレベルを決定する。
程度の記述だと思います。
従いまして、上記の②③あたりが どうも しっくりと来ません。
かなりの力量がないと理解も難しく、もう少し簡略化された方法でも良いのではと感じます。
とは言え、具体的な方法も思い浮かばないのですが。
また、自分の会社組織に適用する管理策は 要求事項 附属書A 各管理策をすべて網羅する必要があるのでしょうか。
6.1.3 d) は 附属書Aを網羅するようにという事でしょうか。
もしそうであれば、最初から附属書Aをベースにして、自組織での対応状況(重要資産のリスク対応)を書いていけば良いのかとも思います。
リスクアセスメントが、要求事項で細かく定義されていない理由の一つとしては、組織の状況や取り扱っている情報資産によってその手法が異なってくるためです。
リスクアセスメントは、ISMSの中で最も重要な部分であるため、困難で時間もかかります。
よって、審査では、適切なリスクアセスメント手法によってリスクが評価されているかが、厳しく問われることになります。
組織の状況や取り扱っている情報資産によってその手法が異なるということを逆にとらえると、ご質問にあります通り、組織によっては①~⑤の手順の中で簡略化できる部分もあるかと思います。
例えば、情報資産が限られている場合は、ご質問の①~④の作業内容は簡素化されます。
また、扱っている情報資産が個人の知識や経験を利用したものの比重が大きい場合などは、専門知識や経験などによるリスクアセスメントの手法となります。
一概にどのようにすれば簡略化できるかをお伝えすることは困難かと思います。
リスクアセスメントに関しましては、JIPDECより「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応- -リスクマネジメント編-」(https://www.isms.jipdec.or.jp/std/index.html)が発行されています。
こちらがご参考になるかと思います。