◆リスクアセスメントにおけるベースラインアプローチでの対策内容を登録します。情報資産の洗い出しにおいて、
あまり重要でないと評価された情報資産に対しては、ベースラインアプローチを採用して一律の対策を施すことが有用です。
◆"PRAM"では、ベースラインの基準をISMS認証基準(Ver.2.0)の附属書「詳細管理策」としています。
◆登録した内容に基づき、「リスク管理表(詳細)」を印刷できます。
ベースラインアプローチ
詳細リスク分析とは異なり、
情報資産ごとにリスクそのものを評価しません。従って、認証基準の要求事項を満たさない場合もありますが、
一連のリスクアセスメントプロセスにおいては、重要な役割を果たします。特に、ISMS構築の初期段階などで、リスク分析の結果、
リスク算定以前に緊急な処置を施す必要がある事態が発見された場合や、その逆に情報資産の価値も低く、
想定される脅威やぜい弱性からもリスクが極めて低く、他の情報資産のリスク算定に対して、十分な時間を割きたい場合などには有用です。
ここで、一連のリスクアセスメントプロセスと記載しましたが、リスクアセスメントは、一過性の作業でないことに留意してください。
ベースラインアプローチにおいては、一般の情報セキュリティに関する基準や、業種・業界で採用されている標準やガイドラインなどを参照し、
組織全体で共通のセキュリティ対策を実施します。実現可能な水準の管理策を採用し、
組織全体でセキュリティ対策に抜け漏れが無い様に補強していくアプローチです。