- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:ベースラインアプローチの実際が知りたい)
ベースラインアプローチの実際が知りたい
このQ&Aのポイント
- ISMSのリスクアセスメントにおいて、非形式的アプローチから組み合わせアプローチへの移行を考えています。しかし、ベースラインアプローチの具体的な手順やタイミングについてわからないことがあります。
- ベースラインアプローチは情報資産の洗出しの後に行われると思われますが、グループ化の前に行うのか、後に行うのかがよくわかりません。従来のプロセスにどのように組み込むべきかも迷っています。
- ベースラインアプローチの具体的な手法や順序についてアドバイスや参考になる情報があれば、教えていただきたいです。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
ISMSは仕組みを回していくことに意義がありますから、余り細部にこだわる必要はないと思います。私のところでは、ベースラインとリスクアセスメントは切り離して考えています。 「対象業務の定義→対象業務フローの書き出し→フローのなかで取り扱う情報資産の洗い出し→情報資産のリスク分析→リスク対策→詳細管理策適用」という流れでのリスクアセスメントの結果にもとづく管理策だけだと、ISO27001に定める詳細管理策133項目の一部に偏ってしまい、とても133もの詳細管理策をカバーすることは出来ないので、ベースライン(基準)として、規程や手順を設けて、必要な管理策をカバーするようにします。 別の言い方をすれば、適用宣言書で「適用するよ」とうたっている詳細管理策のうち、リスクアセスメントにもとづいて詳細管理策を適用しているものを差し引いた残りがベースラインによって適用している詳細管理策です。 ISMSを運用してリスクアセスメントを繰り返すことで、リスクアセスメントに基づいて対応する詳細管理策が増えていけばいいし、ベースラインで策定した規程や手順については、有効性評価のプロセスで「現実的か、ちゃんと守れるか、効果あるか」をチェックしてブラッシュアップしていくことになります。 だから、ベースラインによる詳細管理策についてはリスクアセスメントよりむしろ有効性評価がキモです。
お礼
回答ありがとうございました。 お礼が遅くなってすみません。 ご指導いただいたように、あまりかたぐるしく考えるのをやめました。 とりあえず現在作成している規程・手順書や管理策をベースラインとして設定し、特に重要な個人情報に対し、詳細なリスク評価を実施することにしました。 有効性の評価については、監査以外に、以前参加したシンポジウムで、事例として発表があった企業の、地道で泥臭い方法(抜き打ち検査等)を取り入れようと考えています。