「1.ギャップ分析対策表」は必須でないような気がしますが・・・
リスクアセスメントについてですが、ISMS構築スケジュールで進めると
1.ギャップ分析対策表
2.リスクグループ対策表
の手順で行なうようにあります。
違いがわからないのですが、サンプルを見る限り、 「1.ギャップ分析対策表」はCAIが意識されておらず、ギャップを洗い出す表、「2.リスクグループ対策表」はCAI単位に、リスクを洗い出し、対策に繋げる表に感じます。
「1.ギャップ分析対策表」は必須でないような気がしますが・・・
教えて下さい。
ご指摘の通り、「1.ギャップ分析対策表」は必須ではありません。
リスクアセスメントにはさまざまな手法があり、ISO27001規格では特定の手法は指定されておらず、組織にとって最適な手法を選択または開発すればよいとされております。
一般的には、以下の4つの手法が推奨されています。
1) 「ベースラインアプローチ」
⇒弊社、雛形で対応する様式:「1.ギャップ分析対策表」
2) 「詳細リスク分析」
⇒弊社、雛形で対応する様式:「2.リスクグループ対策表」など
3) 「組み合わせアプローチ」
4) 「非形式的アプローチ」
弊社のサンプル文書では、”1) 「ベースラインアプローチ」” と ”2) 「詳細リスク分析」” の2つの手法を組み合わせた ”3) 「組み合わせアプローチ」” を手法として採用しております。
今回のご質問にあります、「ギャップ分析対策表」は、 ”1) 「ベースラインアプローチ」” 用の様式として用意されているものとなります。
リスクアセスメントの手法については、ご購入いただいた以下のテキストでも解説しております。
そちらも合わせてご確認下さい。
・ 「02_コンサルティング・テキスト」-”②リスクアセスメント研修(ISMS).ppt”
・ 「ISO27001要求事項理解のためのガイドブック」 (P12~P14)