ISMSの登録時に一番多いのは、JIPDECのユーザーズガイドに記述のある「組み合わせアプローチ」でしょう。JIPDECの影響は大きいですね。 これは、上位レベルリスク分析の後、状況に応じて判断し、ベースライン分析と詳細リスク分析を役割分担して行う方式です。しかし、規格4.2.1では、資産の特定があること、管理策に資産の管理があることから、実態としては、詳細リスク分析ですべてのアセスメントを実施しているようです。
適用とした全ての管理策に対し「詳細リスク分析」を行うと言うことは、「上位レベルリスク分析」の意味・役割を理解されていないのではないかと思います。認証登録準備の時点では詳細リスク分析は、確実にリスクを抽出するということでよい方法ですが、その後何年も毎年「詳細リスク分析」を実施するのは、よほど対象資産の変化がない限り、形骸化していると思います。
例えば、組み合わせアプローチプロセスの特徴を活かした方法としては、ISMS認証登録準備期間においては、詳細リスク分析を主として用いる。 その後はベースラインアプローチを主にするとか、状況判断をしっかり行うことで、柔軟で合理的な方法となると思います。結局、毎年の詳細リスク分析は短時間眺めているだけになり、実施したという記録を残しても、単なる審査対応策の一つで、現実的な対応ではありません。
ISO/IEC27001規格は、他のMS規格と違い本文について「PDCA」毎に整理され、4.2.1~4.2.4として規定されています。非常に分かりやすいはずなのですが、リスクマネジメントプロセスとリスクアセスメントプロセスが「ごっちゃ」になっているケースが多いようです。リスクアセスメントは、リスクマネジメントプロセスを構成するサブプロセスです。
ISMSは、リスクマネジメントをベースとした規格ですが、マネジメントシステムであることと同様に、「用語及び定義」から読み取るしかなく、本文からだけでは分からないと思います。 リスクマネジメントプロセスの繋がりについては、ISO/IEC27005:2008(JIS化されず)や、ISO31000:2009(リスクマネジメント-原則及び指針)にある「リスクマネジメントを構成するプロセスの関係」が図化されていますので、参考になります。
0 件のコメント:
コメントを投稿