ISO27001(ISMS)リスク分析の指摘

維持、更新審査においては、前回と比べ、より詳細な部分まで確認される傾向があり、リスクアセスメントはよく指摘となります。

指摘概要

貴社規程6.1.2(情報セキュリティリスクアセスメント)に基づきリスク分析を行って「リスクアセスメントシート」にまとめている。
しかし、顧客リストを社内サーバーからクラウド上に変更したことのリスクアセスメントがなされていない。

是正内容

「リスクアセスメントシート」にてにクラウド上の保管リスクを記載し、想定されるリスクに対する管理策(対策)を策定し、代表者が承認した。

当社からのコメント&アドバイス

一部のファイル(顧客リスト)を保管場所を変更しただけなので、リスク分析の実施を失念しまったそうです。
このお客様は、過去からクラウドを利用していたことで供給者評価は行っていましたが、もし、新規でクラウドの利用を行った場合、クラウド業者に対する供給者評価を行う必要があります。
維持、更新審査においては、前回と比べ、より詳細な部分まで確認される傾向がありリスクアセスメントはよく指摘となります。やはりリスクアセスメントは、定期的な見直しと、細部までの確認が必要ですね。