SecureNaviでは資産登録を行うと、その資産のカテゴリに応じたリスク、リスク対応が自動提案されます。自動提案の内容の他に、自社独自の状況を踏まえてリスク、リスク対応を追加していくことができます。本ページでは、リスク対応の追加について説明します。リスクの追加手順についてはこちらを参照してください。
追加する内容を検討する
SecureNaviでは、リスク、リスク対応は「資産」に紐づけて管理を行います。
どの資産に対して、何の目的でどういったリスク対応(ルール)を設定するのかを決定します。
検討すべき事項は以下の通りです。
- どの資産に対して適用するべき内容か
- どのリスクに対するリスク対応か
- どの安全管理措置に紐づくリスク対応か
- リスク対応の文言をどうするか(従業者が読んで具体的に理解できる文章であることが望ましいです)
リスク対応を追加する
追加する内容が決まったら、以下の手順でリスク対応を追加します。なお、リスクも新規で追加する場合には、先にリスクを追加してください。
- 「リスクの管理」>「資産」にて、追加するリスク対応を紐づける資産名をクリックします。
(例:「SecureNaviサンプル」という組織カテゴリの資産にリスク対応を追加する場合)
- 対象資産の詳細画面の「リスク対応」箇所の「+」ボタンをクリックします。
- 「リスク対応の名前」の部分に、検討したリスク対応の文面を入力します。
※改行が入る場合、この画面では一旦改行なしで入力されます。後の画面にて修正ができます。
- 「対応するリスク」にて、ドロップダウンリストから、このリスク対応に紐づけるリスクを選択します。対象の資産(例では「SecureNaviサンプル」資産)にすでに登録されているリスクが候補として表示されます。複数のリスクと紐づけることも可能です。
※紐づけるリスクを未登録の場合は、未選択で登録いただいて構いません。
リスク対応を登録後に後述の編集操作にてリスクとの紐づけを行ってください。
- 「登録」ボタンをクリックして確定します。
- 対象資産の「リスク対応」に、新しく登録したリスク対応が表示されることを確認します。
登録直後のリスク対応のステータス判断は「保留中」です。
追加したリスク対応に安全管理措置を紐づける
新たに登録したリスク対応は、どの安全管理措置に紐づく内容かを指定する必要があります。安全管理措置との紐づけを指定することで、「社内ルール・文書」>「安全管理措置」に追加したリスク対応が表示されるようになります。
- 上述の「リスク対応を追加する」の手順6画面(資産の詳細画面の「リスク対応」表)にて、追加したリスク対応の文面をクリックします。
- 上部の、リスク対応の文面を再度クリックします。
- リスク対応の詳細画面にて、「編集」ボタンをクリックします。
- 「対応する規格」の箇所にて、「PMS 安全管理措置のカテゴリ」(図の赤枠部分)を指定します。個人情報保護法のガイドライン通則編にて定義されたカテゴリが候補として表示されます。複数選択することが可能です。
選択すべき安全管理措置のカテゴリが不明な場合、チャットサポートにお問合せください。
※「ISO/IEC 27001:2013の規格項番」、「ISO/IEC 27001:2022の規格項番」(図の黄色枠部分)はISMS認証の管理機能をご利用いただいている場合には入力いただくことをおすすめいたします。
Pマークのみご利用の場合は入力は不要です。ISMSでのリスク対応の追加についてはこちらをご参照ください。
※リスク対応の文言を修正したり、改行の修正を行う場合、本手順の画面にて修正が可能です。
- 「更新」ボタンをクリックして確定します。
- リスク対応の詳細画面にて、選択した「PMS安全管理措置のカテゴリ」が反映されていることを確認します。
追加したリスク対応に複数の資産を紐づける
同じ内容のリスク対応を他の資産にも適用したい場合、上記「追加したリスク対応に安全管理措置を紐づける」にて開いた詳細画面から、紐づける資産を追加することができます。資産を追加すると、「リスクの管理」-「リスク対応」上に対象資産に紐づくリスク対応が別のリスク対応IDで追加されます。
- 上述の「リスク対応を追加する」の手順6画面(資産の詳細画面の「リスク対応」表)にて、追加したリスク対応の文面をクリックします。
- 「資産ごとの判断」箇所の「+」ボタンをクリックします。
- 登録済みの資産がリスト表示されます。リスク対応との紐づけを追加したい資産をリストから選択します。複数の資産への紐づけを追加することが可能です。
(例:「SecureNaviサンプル2」資産との紐づけを追加する場合)
- 「登録」ボタンをクリックして確定します。
- 資産への紐づけが追加されたことを確認します。
- 「リスクの管理」>「リスク対応」にて確認すると、同じリスク対応が資産ごとに作成されていることが確認できます。
- 紐づけを追加した資産については個別に、後述の「リスク対応にリスクを紐づける」手順の実施が必要です。
リスク対応にリスクを紐づける
以下のような場合、リスク対応にリスクを紐づける操作が必要です。
- 「リスク対応を追加する」の手順4にてリスクの紐づけを行わなかった場合
- 手動で追加したリスク対応に、追加の資産を紐づけた場合
- 関連するリスクを追加する場合
- 「リスクの管理」>「リスク対応」にて、対象資産の対象のリスク対応をクリックします。
(例:「SecureNaviサンプル2」資産の、「四半期に一度チームごとの重要事項遵守状況確認を実施する。」というリスク対応の場合)
- 「対応していない場合に考えられるリスク」箇所の「編集」ボタンをクリックします。
- 対象資産に紐づいているリスクがリスト表示されます。該当するリスクを選択します。複数のリスクを紐づけることが可能です。
- 「変更」ボタンをクリックして確定します。
- リスクとの紐づけが反映されたことを確認し、「閉じる」をクリックます。
よくある質問と答え
安全管理措置に紐づいていないリスク対応を確認することはできますか
はい。「リスクの管理」>「リスク対応」にて、フィルタ機能の「安全管理措置の有無」を「なし」に設定してご確認ください。その際、判断のフィルタによる見落としがないようにご注意ください(保留中、計画中、実施済みそれぞれご確認ください)。
リスクに紐づいていないリスク対応を確認することはできますか
はい。「リスクの管理」>「リスク対応」にて、フィルタ機能の「リスクの有無」を「なし」に設定してご確認ください。その際、判断のフィルタによる見落としがないようにご注意ください(保留中、計画中、実施済みそれぞれご確認ください)。