自社開発ソフトのリスク分析
現在リスクグループ対策表を作成させていただいておりますが、その中で1点確認させていただきたい事項があります。
リスクグループ分類表にございます「プログラム」については、既に完成されたソフト(パッケージソフト)を導入した際を想定して、リスクグループ対策表を作成していくものと理解しております。
しかしながら当社の場合、ソフトウェア開発を主としておりますため、完成されたプログラムのみではなく、作成途中のプログラムも資産としては存在いたします。
また作成途中のものであったとしても、漏えいなどのリスクは存在するかと存じます。
このような場合、リスクグループ対策表はどのように表現すればよろしいでしょうか。
リスクグループ分類表の段階で、既成品と作成途中のもので分ける必要があるとすれば、どのような扱いになるかご教示頂きたくお願い申し上げます。
プログラム(ソフトウェア)については通常、パッケージソフトウェア(主に市販)と自社開発ソフトウェアに大きく分類され、各々でリスクやリスク対策も異なるものもありますので区別して管理されると良いかと思います。
リスクグループ分類表では、プログラム(パッケージ)とプログラム(自社開発:作成途中も含む)として分類し、管理されると良いかと思います。
※リスクグループ分析対策表も同様に区別して管理するようにして下さい。
(補足)
ちなみに、プログラム(パッケージ、自社開発)に関係する主な管理策は、「ISMS-B13 システムの開発および保守管理規程」で規定されておりますのでご確認下さい。
例)
”5.3 プログラムソースコードへのアクセス制御(A.12.4.3)”などは、プログラム(自社開発:作成途中も含む)のみに適用される管理策だと思われます。
通常、プログラム(パッケージ)ではソースコードは提供されないですよね。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
