「規格4.2.3」ISMSの監視及びレビュー d)項にリスクアセスメントに対するレビューの要求があります。 規格4.2.3は、「Check」ですから、規格4.2.1の「Plan」でのリスクアセスメントの実施とは役割が異なりますが、4.2.1でのリスクアセスメント作業の再確認や期中でリスクアセスメント作業そのものの見直し行為と誤解されていることもあります。
これは、「レビュー」を「見直し」、そしてだったら「再確認」もあるなどとだんだん意味が異なっていくようです。 また、「見直し」「見て・直す」と分解でき、日本語は後の言葉に比重がかかることがありますので、「直す」ために「見る」と考えるのでしょう。
「レビュー」は、ISO9000用語では、「設定された目標を達成するための検討対象の適切性、妥当性、及び有効性(3.2.14)を判定するために行われる活動。」ですので、「Check」です。もし、「直す」ことが必要であれば、規格4.2.4 ISMSの維持及び改善で行うのが自然ですね。
また、「レビュー」を適切に行うためには、「設定された目標」なりその基となる「リスクマネジメント方針」が明示的或いは暗黙的に存在していなければ、「レビューではなく、主観で眺めるだけの行為」となります。このことはISO31000(リスクマネジメント-原則及び指針)を見なければ現状わからないです。ISO/IEC27000シリーズの次回の改訂では、ISO31000と用語を合わせるようですので、期待したいものです。
「リスクマネジメント方針」なり「リスクマネジメント目的・目標(objective)」を設定しておれば、このリスクアセスメントのレビューは何をしなければならないか分かりやすくなります。現状ではそれぞれ、「ISMS基本方針」、「ISMS目的・目標(objective)」に含まれているのではないでしょうか。
このリスクアセスメントのレビューは、例えば、期初にリスクアセスメントを行い、リスク対応計画を作成し、リスク対応を実施し、四半期、半期を経た時点で、リスクコミュニケーションやリスクの監視状況を活用してリスクアセスメントのレビューを行い、必要であれば4.2.4項を実施することで、リスクマネジメントとしてPDCAがまわることになります。これらは、4.2.3b)項やマネジメントレビューとも関連があります。
このレビューにおいては,リスクアセスメントにおいて、基軸となる「残留リスク、特定したリスク受容可能レベル」のレビューも要求されています。 規格が示してくれた,6種類の視点は、なるほどと思える視点だと思います。
0 件のコメント:
コメントを投稿