SecureNaviでは資産登録を行うと、その資産のカテゴリに応じたリスク、リスク対応が自動提案されます。自動提案の内容の他に、自社独自の状況を踏まえてリスク、リスク対応を追加していくことができます。本ページでは、リスクの追加について説明します。リスク対応の追加手順についてはこちらを参照してください。
用語の説明
- ライフサイクル(局面)
-
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針の「J.3.1.3 個人情報保護リスクアセスメント」では、個人情報保護リスクの洗い出しの観点として、情報の取扱いの一連の流れにおいてどのような取扱いをしているのかを洗い出すことが推奨されています。具体的な例として以下が挙げられます。
- 取得・入力
- 移送・送信
- 利用・加工
- 保管・バックアップ
- 消去・廃棄
-
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針の「J.3.1.3 個人情報保護リスクアセスメント」では、個人情報保護リスクの洗い出しの観点として、情報の取扱いの一連の流れにおいてどのような取扱いをしているのかを洗い出すことが推奨されています。具体的な例として以下が挙げられます。
追加する内容を検討する
SecureNaviでは、リスク、リスク対応は「資産」に紐づけて管理を行います。
どの資産に対してどんなリスクがあるのかを検討します。
検討すべき事項は以下の通りです。
- どの資産に対して適用すべき内容か
- どの局面(ライフサイクル)において発生するリスクか
- リスクの文言(従業者が読んで具体的に理解できる簡潔な記載が望ましいです)
リスクを追加する
追加する内容が決まったら、以下の手順でリスクを追加します。
- 「リスクの管理」>「資産」にて、追加するリスクを紐づける資産名をクリックします。
(例:「SecureNaviサンプル」という組織カテゴリの資産にリスクを追加する場合)
- 対象資産の詳細画面の「リスク」箇所の「+」ボタンをクリックします。
- 「名前」に、追加するリスクの名前を入力します。
- 「リスクカテゴリー」にて、「個人情報保護」を選択します。
※Pマーク機能のみご利用の環境では「個人情報保護」のみがリストされます。
ISMS機能もご利用の環境の場合には、機密性・完全性・可用性もリストされますので必要に応じて、「個人情報保護」に追加で指定してください。複数指定が可能です。
- 「リスクカテゴリー」に「個人情報保護」を指定すると、「リスクが生じるライフサイクル(局面)」を指定する箇所が追加表示されます。追加するリスクが発生しうる局面を1つ選択します。複数指定はできません。
- リスクが追加されたことを確認します。
リスクを追加したら、リスクに対する対策を合わせて検討しましょう。
リスク対応を追加する手順はこちらを参照してください。
よくある質問と答え
追加したリスクを複数の資産に紐づけることは可能ですか
いいえ。現時点では資産とリスクは1対1の関係のみ対応しており、複数の資産に同じリスクを紐づけることはできません。同じリスクを複数の資産に適用したい場合はお手数ですが、資産数分、リスクの作成をお願いします。
リスク対応が紐づいていないリスクを確認することはできますか
はい。「リスクの管理」>「リスク」にて、フィルタ機能の「リスク対応の有無」を「なし」に設定してご確認ください。