ISO/IEC27001規格4.2.2 ISMSの導入及び運用の下記の項番において、
a)リスク対応計画を策定する。この計画では,情報セキュリティリスクを運営管理するための,経営陣の適切な活動,経営資源,責任体制及び優先順位を特定する。
b)特定した管理目的を達成するためにリスク対応計画を実施する。この計画には,必要資金の手当て並びに役割及び責任の割当てへの考慮を含む。
とあります。上記以外では、「リスク対応計画」という表現はなく、規格4.2.1のe)、f)、g) は「リスクの対応」をせよと言っています。些細な表現上の問題かも知れませんが、「リスク対応計画」は、運用上の計画ですから「Do」だと伝えたいのかも知れません。
また、「管理策」は「管理目的」を達成する為にあるのですから、4.2.2 b)項は当然の言い方ですね。しかし現実は、個々の管理策に基づくルールのことばかり気になるようですから、管理策そのものが管理目的とかけ離れてしまい、リスク対応が不備になることが心配です。このルールはどのような事を防ぐ(管理目的)ためにあるのかを意識することが重要です。
リスク対応計画は,一過性のものではなく年間を通して、リスク受容基準を満たし続ける(言い換えると残留リスク値に留め置く)ための計画であり,例えば、意識向上策や教育・訓練教育・トレーニング計画や内部監査計画(含む監査プログラム)等に関する計画でもよいし,リスクマネジメントを包含するISMSの運用計画でもよいと思います。
ISMSユーザーズガイド JISQ27001:2006(ISO/IEC27001:2005)対応リスクマネジメント編(JIP-ISMS113-21)の記述(2.3.1 STEP1 リスク対応計画の策定)も、その気で読めば読めないわけではありませんが、具体性に欠けます。要するに、リスクマネジメントは、予防の塊ですので、心配なところ、その程度に応じて各企業で考え、活動するための計画ということでしょうか。
このガイドでの「実装(implementation)」の解釈もいろいろ考えられます。 日本語的には「ルールを作る、ルールを見える化する」こととも取れますが、実際の日々の活動を考えたとき、「決めたルールを実行する、実行していることをチェックする」までとした方が、よいように思います。
「計画」とあるから「リスク対応計画」の策定・実施は、4.2.2「Do」ではなく、4.2.1「Plan」のg)項とh)項の間に入れた場合の特徴は、リスク対応計画は、管理策を作り込むためのものですので、必然的に「管理策」単位となります。従って、ISMS登録の時点では、賑やかに全ての管理策対応が作り込みの計画・結果としてありますが、登録後は、「すべて対応済み」として「リスク対応計画」そのものがなくなるということにならないでしょうか。
0 件のコメント:
コメントを投稿