規格対応箇所
規格 | 規格項番 | タイトル |
---|---|---|
JIP-ISMS517 | 4.2.2 | 情報セキュリティリスク対応 |
要求されていること
基本的な構造はCSPと同一になります。
要求事項の詳細は 12. CSP資産を対象にベースライン分析を行う をご覧ください。
やること
1. ベースライン分析は資産(資産カテゴリー「3. ソフトウェア > 4. CSC」)ごとに行います。
まずはどのCSC資産に対するベースライン分析結果を表示するかを画面右側の「対象資産」プルダウンから選択をします。(デフォルトでは1番初めに登録したCSC資産が選択された状態です)
2. 「対象資産」のCSC資産を登録したときに自動で紐づいたリスク対策のうち、ステータス判断が「実施済」のものが管理策と紐づく社内ルールとして登録されます。CSPでは公開・開示情報を登録しましたが、CSCでは不要です。
3. できる限り全ての管理策を適用する(つまり、管理策に紐づくルールを作成し、社内で実施する)ことが望ましいですが、自社に関係のない項目は「適用除外」という選択を取ることができます。
適用除外をする場合は、「適用除外」をクリックし、適用除外する理由を入力して設定をします。
これでCSPとCSCのベースライン分析は完了です。本要求事項の文書化として、14. 「適用宣言書(ISMSクラウドセキュリティ)」を承認する にて適用宣言書を作成していきましょう。