社内のルールに独自のルールを追加する場合、以下の情報を整理する必要があります。
- そのリスクはどの情報資産に対するリスクなのか
- 複数ある場合は、複数に紐づけます。
- そのルールはどんなリスクに対応するルールなのか
- 単純に追加するだけであれば、対象のリスクを決定する必要はありませんが、ルールを制定する以上、なんらかのリスクに紐づけていただくと、「なぜこのルールを採用したのか」が明らかになるので、紐付けは推奨いたします。
上記2点が整理できましたら、以下の手順にて「リスク対応」を登録します。
(リスク対応 = 社内のルール という構造になっています)
操作方法
- サイドメニューから、リスクの管理 ▶︎ 情報資産 を選択し、情報資産の一覧を表示します。
- 前述で決定した情報資産を選択します。
- (任意対応)この資産に新たにリスクを追加する場合、以下の操作にてリスクを新たに追加します。(リスク分析・レベル判定を別途行ってください。)
- 画面右端追加ボタンが2つありますので、上段の「リスク」にかかる追加ボタン(+)を押下します。
- すでに対象のリスクがある、あるいはリスク登録が不要なルールならばリスクの登録は不要です。
- 画面右端追加ボタンが2つありますので、上段の「リスク」にかかる追加ボタン(+)を押下します。
- 次に、下段の「リスク対策」にかかる追加ボタン(+)を押下します。
- 「リスク対応の名前」欄には、今回追加したいルールを記載します。
- (任意対応)対応するリスクがある場合は選択してください。
- 以上で新たにリスク対応が追加されました。これから、「情報セキュリティマニュアルの項番への紐づけ」を行います。
- 追加したリスク対応のアンカーをクリックします。
- すでにルールに登載する意思があれば、「実施済み」をクリックします。
- リスク対応の名前部をクリック
- 開いたページで、右上・編集ボタンを押下します。
もしこのルールを別の情報資産にも同時に紐づける場合は、「資産ごとの判断」にかかる追加ボタンを押下して、対応する情報資産を選択して紐づけることもできます。 - 対応する規格項番にて、今回追加したルールを紐づける「情報セキュリティマニュアル」の番号を選択してください。
以上で、作成した「リスク対応」が情報セキュリティマニュアルの対応する項番に紐づくリスク対応(ルール)になりました。
実施済みを選択いただければ、情報セキュリティマニュアルに登載されます。