ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

通信・運用管理規程のリスク評価と第三者について

2009/06/16 (2019/09/21)

通信・運用管理規程
P2 2.2 変更の管理
下の(2)に「影響範囲、リスク評価を行う。」とありますが、この部分は「運用申請書」のリスク評価表の部分のことを言っているのでしょうか?

もし、そうであるならばこの記入例にあります、「リスク値1 リスク対応 不要」となっているのは、何を見てこのリスク値1が出来たのでしょうか?

考えられるものは、「リスクアセスメント管理規程」でありますが、ここを見るならばどこを見ればいいのでしょうか?

P5「3.1第三者が提供するサービス」とありますが、ここでいう第三者とは会社が契約している清掃業者とかをさしているのでしょうか?
それともサーバなどを管理している業者のことなのでしょうか?

P2 2.2 変更の管理 下の(2)に関してですが、こちらは「運用申請書」のリスク評価表の部分のことです。

 

リスク値1は記入例として記述していますので、「リスクアセスメント管理規程」の”2 情報資産の洗出し ~ 5.1 評価方法の決定”の手順に準拠し、通常のリスクアセスメントと同様にリスク値を算出するようになります。

P5「3.1第三者が提供するサービス」に関しては、一般的には、データ処理やプログラム製作の委託先はもちろん、自社の持つ資産を提供して業務を依頼する
(例えば、運送を依頼する、DM発送を依頼する、印刷を依頼するなど)場合の依頼先が第三者に該当します。

なお、自社がビジネスを続けてゆく上で、自社との業務契約には関係無く、自社の資産を取扱う又は資産にアクセスする可能性のある外部の組織は、全て含まれると考えるのが妥当です。