情報セキュリティリスクアセスメント規程
注: ISO/IEC 27001:2022(JIS Q 27001:2023)に基づく情報セキュリティリスクアセスメント及びリスク対応の手順のひな形です。自社のリスク基準・資産管理の実態に合わせて調整してください。
第1章 総則
第1条 (目的)
本規程は、〔会社名〕(以下「当社」という。)の情報セキュリティに係るリスクを特定し、分析し、評価し、対応するための手順を定めることを目的とする。
第2条 (適用範囲)
本規程は、当社の情報セキュリティマネジメントシステム(ISMS)の適用範囲に含まれる情報資産に適用する。
第2章 リスク基準
第3条 (リスク受容基準及び評価基準)
当社は、リスクを評価し受容するための基準(受容基準及び実施基準)をあらかじめ定める。
第4条 (情報資産の特定)
当社は、情報資産を特定し、その管理責任者を明確にする。
第3章 リスクアセスメント
第5条 (リスクの特定)
当社は、情報資産の機密性、完全性及び可用性の喪失に関するリスクを特定する。
第6条 (リスクの分析)
当社は、特定したリスクについて、起こりやすさ及び結果の大きさを分析し、リスクレベルを決定する。
第7条 (リスクの評価)
当社は、リスクレベルをリスク基準と比較し、リスク対応の優先順位を決定する。
第4章 リスク対応
第8条 (リスク対応の選択)
当社は、各リスクについて、低減、保有、回避又は移転のいずれかの対応を選択する。
第9条 (管理策の選択及び適用宣言書)
当社は、リスク対応に必要な管理策を選択し、適用宣言書(SoA)を作成する。適用宣言書には、必要な管理策及び採用の理由、当該管理策を実施しているか否か、並びに ISO/IEC 27001 附属書Aに規定する管理策を除外した場合はその理由を含める。
第10条 (リスク対応計画及び承認)
- 当社は、リスク対応計画を作成し、責任者及び期限を明確にして実施する。
- 当社は、リスク対応計画及び残留する情報セキュリティリスクについて、リスク所有者の承認を得る。
第5章 運用
第11条 (定期的な見直し)
当社は、リスクアセスメント及びリスク対応を定期的に、及び重大な変化が生じたときに見直す。
第12条 (記録及び保存)
当社は、リスクアセスメント及びリスク対応の結果を記録し、保存する。
第6章 雑則
第13条 (改廃)
本規程の改廃は、関係法令・規格の改正及び運用の実態を踏まえて行う。
附則
本規程は、〔施行日〕から施行する。