自社開発ソフトのリスク分析
現在リスクグループ対策表を作成させていただいておりますが、その中で1点確認させていただきたい事項があります。
リスクグループ分類表にございます「プログラム」については、既に完成されたソフト(パッケージソフト)を導入した際を想定して、リスクグループ対策表を作成していくものと理解しております。
しかしながら当社の場合、ソフトウェア開発を主としておりますため、完成されたプログラムのみではなく、作成途中のプログラムも資産としては存在いたします。
また作成途中のものであったとしても、漏えいなどのリスクは存在するかと存じます。
このような場合、リスクグループ対策表はどのように表現すればよろしいでしょうか。
リスクグループ分類表の段階で、既成品と作成途中のもので分ける必要があるとすれば、どのような扱いになるかご教示頂きたくお願い申し上げます。
プログラム(ソフトウェア)については通常、パッケージソフトウェア(主に市販)と自社開発ソフトウェアに大きく分類され、各々でリスクやリスク対策も異なるものもありますので区別して管理されると良いかと思います。
リスクグループ分類表では、プログラム(パッケージ)とプログラム(自社開発:作成途中も含む)として分類し、管理されると良いかと思います。
※リスクグループ分析対策表も同様に区別して管理するようにして下さい。
(補足)
ちなみに、プログラム(パッケージ、自社開発)に関係する主な管理策は、「ISMS-B13 システムの開発および保守管理規程」で規定されておりますのでご確認下さい。
例)
”5.3 プログラムソースコードへのアクセス制御(A.12.4.3)”などは、プログラム(自社開発:作成途中も含む)のみに適用される管理策だと思われます。
通常、プログラム(パッケージ)ではソースコードは提供されないですよね。
