リスクグループ分析対応表の内容がほとんど空白になってしまうのですが。
ISMS認証取得後3年目の更新になる年に、再度全面的に見直しを開始しました。
資産洗い出し → リスクグループ分析対応表 作成で、1年目に作成した現在の状況・リスクが、今はほぼ解消されています。
となると、この分析表の内容がほとんど空白になってしまうのですが、そのような書き方でよろしいのでしょうか。
新たなリスクが少しはありますが、多くのリスクは対応済みになります。
この分析表を全面改訂してしまっても良いものなのでしょうか。
当初よりは対策が進み、少なくなってくることは確かなので、対策すべき項目は少なくなるのは当然だと思います。
一般的に「新規に抽出されるリスク」や「抜本的な対策が必要な事項」の数は、回を重ねるごとに少なくなっていく傾向にあり、むしろ「対応の深堀」や「変化への対応」といったことに変化していくことになります。
1. 初期と次回以降の違い
初期(導入時)では、現状の把握と大きな欠陥の修正を目的とし、全資産を対象にするため、膨大な量となります。また、インフラ整備や仕組み作りなど、作業負担も大きくなります。
ISMSの運用が進むと、次回以降(運用期)では、リスクアセスメントの目的は「変化の特定と対策のブラッシュアップ」に変わってくるため、変更のあった資産や未解決リスクへの対応が中心となります。手順の改善や最新の脅威への微調整といった維持・改善が主な作業となり、安定してきます。
■ 対応が少なくなる理由
- 初回のアセスメントで、パスワード設定の不備や物理的な鍵の管理など、すぐに対応すべき大きなリスクはすでに対策済みとなる。
- 組織としてのセキュリティ基準(規程)ができあがるため、ゼロからルールを作る手間がなくなる。
- 全く新しい事業を始めない限り、「前回から何が変わったか?」という点に注力できるようになる。
2. 対策済みは「空欄」ではだめなのか?
1年目の対策が解消され、対応事項が減る一方で、以下のような要因で新たな対応が必要になってきます。
- 環境の変化
テレワークの導入、クラウドサービスの利用拡大、AIの活用など、ビジネス環境の変化に応じた新しいリスク。 - 脅威の高度化
以前は一般的ではなかった攻撃手法(ランサムウェアの進化など)に対抗するため、既存対策を強化する必要性。 - 前回の残存リスク
予算やリソースの都合で「保留したリスク」について、再度の検討。
また、上記以外にも、リスクアセスメントの見直しを行って新たな脆弱性が発生していないことを説明する必要があるため、例えば、以下の様に分析表を更新することをお勧めしています。
空白はお勧めしません。
- 前回
- – 脆弱性欄 = ~のルールが定められていない。
- – 対策 = ~のルールを定め運用する。
- 今回
- – 脆弱性欄 = ~のルールは既に定められており大きな脆弱性は認められない。
- – 対策 = ~現状のルールに準拠し現状を維持する。
ちなみに新たな脆弱性が発生する要因には以下のような事項も考えられます。
ご参考ください。
- 新たな機器やソフトを導入した。→ 脅威 = 不慣れ、機器の信頼性など
- 担当者が変わった。→ 脅威 = 知識不足、引継ぎ不足など
- 他社で事件・事故が発生している。→ 脅威 = 自社でも起きる可能性がある。
3. まとめ
ISMSのリスクアセスメントは、最初は「大きな岩」を取り除く作業ですが、2回目以降は「砂利を整え、新しい雑草(新しい脅威及び脆弱性)を抜く」ようなイメージです。
物理的な「大掛かりな工事」は減りますが、定期的な「手入れ」は続くと考えておくと、運用がスムーズになるかと思います。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
