|
   |
|
 |
|
 HOME |
  会社概要お問い合わせ |
|
|
  対応計画リスク評価に基づき、リスク対応内容が定まったら、具体的に何を、いつ、どうやって実施していくのかといった計画を作成する必要があります。
要求事項 『a)経営者の適切な活動、責任及び情報セキュリティのリスク管理の優先順位を識別する、リスク対応計画を作成すること。 b)識別された管理目的を達成するためのリスク対応計画を実施すること。これには、必要な資金を考慮すること、並びに役割及び責任を割り当てることを含む。』 (BS7799-2:2002 ISMSの導入及び運用 4.2.2a〜bより引用)
評価されたリスクをすべて一辺倒に投資しリスク対策するのではなく、経営的な観点から、事業継続上、優先順位の高いリスクから対策を実施して行くとよいでしょう。 また、実施するリスク対策の有効性およびコスト面、組織人事上の課題といった実現可能性を評価した上で決定することで、限られた時間、限られたコストの中で、最大限有効なISMSが構築することができます。
1.リスクへの対応計画 まずはリスク評価結果を参照し、具体的に課題を見直し、次のことを計画に盛り込んでいきましょう。 a.具体的な対策内容 対策内容はできる限り具体的にしておきましょう。 b.対応責任者 各リスクへについて、誰が責任者なのか決めておくことで、対応が滞るのを防ぎます。実際に対応 する人はもちろんですが、リスク対応計画の進捗管理をする人も定めておくことが望ましいでしょう。 c.対応の優先順位 実際対応するにしても、内容によってはすぐに実施しなければならないリスクもあれば、今期は リスク受容して、次年度以降に対応すればよいと判断されたリスクもあるでしょう。その優先順位 に応じて予算の配分や、スケジュールの割り振りなどを行いましょう。 d.対応予定日 対応予定日は、できる限り明確に定めていきましょう。この予定が進捗管理をしていく上で非常 に重要な要素になっていきます。 2.計画の進捗管理 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
| | サイトポリシー | リンクポリシー | プライバシーポリシー | サイトマップ | | Copyright JMC Co.,Ltd. All rights reserved. |
