ISO27001(ISMS)リスク分析の見直し

次回審査までに、情報資産の追加、変更、見直しがあった場合、リスクアセスメントシート(仮称)の追加、変更、見直しも必要となります。
また、情報資産の追加、変更、見直しが無い場合でも、新たなリスクが発生している状況もあり、その場合、新たな管理策(対策)も検討しなければなりません。
都度、リスクアセスメントシートへ、反映することが理想となりますが、現実的には抜け漏れが発生してしまうこともあります。
したがって、リスクアセスメントシートは最低1年に1回の定期的な見直しをおすすめします。
なお、次回審査においては、前回より変更のあった部分(新規や変更)の確認がされ、その証として、リスクアセスメントシートの反映が出来ているかも確認されます。

ISO27001の更新