ISMS, プライバシーマークおよびISM Web store商品に関するさまざまなご質問と回答をご紹介

リスクグループ分析対応表の内容がほとんど空白になってしまうのですが。

05.09.2018 | ISMSサンプル文書集.  283 views

ISMS認証取得後3年目の更新になる年に、再度全面的に見直しを開始しました。

資産洗い出し → リスクグループ分析対応表 作成で、1年目に作成した現在の状況・リスクが、今はほぼ解消されています。
となると、この分析表の内容がほとんど空白になってしまうのですが、そのような書き方でよろしいのでしょうか。

新たなリスクが少しはありますが、多くのリスクは対応済みになります。
この分析表を全面改訂してしまっても良いものなのでしょうか。

当初よりは対策が進み、少なくなってくることは確かなので、対策すべき項目は少なくなるのは当然だと思います。

要求事項の「継続的な改善」においても、「継続的改善といった場合には右肩上がりの直線的グラフを描く必要はないが、ある期間にわたって定期的に改善が見られることが望ましい。」ということであるため、組織の状況に応じて、自らの裁量で決定すれば良いかと思います。

ちなみに、リスクアセスメントの見直しを行って新たな脆弱性が発生していないことを説明する必要があるため、以下の様に分析表を更新することをお勧めしています。
なお、空白はお勧めできません。

▼前回
 脆弱性欄=~のルールが定められていない。
 対策 =~のルールを定め運用する。
▼今回
 脆弱性欄=~のルールは既に定められており大きな脆弱性は認められない。
 対策 =~現状のルールに準拠し現状を維持する。

ちなみに新たな脆弱性が発生する要因には以下のような事項も考えられます。
ご参考ください。
①新たな機器やソフトを導入した。 → 脅威=不慣れ、機器の信頼性など
②担当者が変わった。 → 脅威=知識不足、引継ぎ不足など
③他社で事件・事故が発生している。 → 脅威=自社でも起きる可能性がある。