規格対応箇所
規格 | 規格項番 | タイトル |
---|---|---|
JIS Q 27001:2023 | 6.1.3 | 情報セキュリティリスク対応 |
JIS Q 27001:2023 | 8.3 | 情報セキュリティリスク対応 |
JIP-ISMS517 | 4.2.2 | 情報セキュリティリスク対応 |
要求されていること
27001と27017にて定められている管理策に基づいてリスク対応を検討します。
27001と27017で同項番の管理策もありますが、対象は「クラウドサービス」となるため、新たに検討する必要があります。27001にはなく、27017で新たに求められる管理策も存在します。
ISMS同様、クラウドセキュリティ認証独自の適用宣言書の作成を行います。
SecureNaviでは、07. 情報資産(CSP・CSC)の洗い出しに着手する にて洗い出されたCSPとCSCごとに、リスク対応のプリセットデータが表出しています。それを元にリスク対応を決定していきます。
やること
1. リスク対応の確認方法は以下の2通りです。
- 資産詳細画面の「リスク対応」から確認(資産に紐づくリスク対応のみが表示)をします。
- リスク対応詳細画面から確認(全てのリスク対応が表示)をします。
2. SecureNaviに登録されているリスク対応の判断を行います。対応済みであれば「実施済み」、これから対応する場合は「計画する」を選択し、期限と担当者を設定します。
3. プリセットデータで提案される以外のリスク対応を設定したい場合は、リスク詳細画面の画面右下「リスク対応の追加」から登録をします。
リスク対応の検討は、管理策を満たしているか、決定した仕様を公開できているかなど、追加して検討していく事項があります。以下二つと並行して進めていきましょう。
検討が完了したら、11. 洗い出しを完成させ「リスクリスト」を承認する にて、リスクリストの承認依頼に進みましょう。