ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

複数の脅威があっても1つの対策によって解消される場合、細かい表記は不要

06.12.2020

現在弊社はリスク分析対応を行なっています。

そこで、1つのリスクに対して複数の脅威が存在する場合に主となる驚異1−2つに表記を絞り対応表を作成することはリスク分析対応として問題ありませんでしょうか。

複数の脅威があったとしても1つの対策によってそれらが解消されるのであれば細かい表記は不要ではないかと考えています。

ご質問の様式は「リスクグループ分析対策表」のことだと思われますので、その認識で返信させていただきます。

ご質問のように、結果として「複数の脅威があっても1つの対策で解消」であっても、様式の作成時点では、その検討過程(考えれれる脅威とそれに対する対策)を記載された方が良いかと思います。

これは、今後の見直しが生じた際や担当者が変わった場合などにおいても、どのような脅威を検討し、対策したのかが分かることになります。

ちなみに、すべての脅威を網羅できることはないため、結果としては、ご質問のような表記でも同じことになるかもしれません。

但し、この点に関しては、ISO27001の6.1.2情報セキュリティリスクアセスメントのb)項の要求事項とも関連してくるかと思いますので、ご注意ください。