成功している組織では、リスク管理は戦略的な計画と優先順位付けを強化し、目標達成を支援し、直面する課題に機敏に対応する能力を高めます。目標を確実に達成し、サービス提供を改善し、費用対効果を実現することを本気で目指すなら、リスク管理は計画策定と意思決定の不可欠かつ本質的な一部でなければなりません。政府全体でリスクに関する実務は時間とともに改善してきましたが、私たちの事業環境の不確実性・複雑性・曖昧さは高まり、リスクの影響を管理するうえで、より高い透明性と説明責任が求められるようになっています。
パートI:リスク管理―原則と概念は、初版の「オレンジ・ブック」を基盤として、リスク管理をさらに向上させ、これを私たちの業務の定例的な一部として根付かせることを目指します。
パートII:組織が効果的かつ効率的にリスクコントロールに取り組めるようにするため、パートIIでは、既存の高水準の統制要件をどのように分類し、それらの遵守をどのように確保できるかを、原則的な構造で示します。
まずは、これら2つの規格の共通点から始めましょう。
両規格は、国際標準化機構(ISO)がマネジメントシステム規格向けに定めたハイレベル構造(HLS)に基づき、非常に似た構成になっています。
つまり、主たる箇条(およびほぼすべての小項目)は両規格で同じです。
両規格における附属書A(Annex A)の目的も同じで、企業が自社に適用可能な管理策を選択するためのリストを提供するものです。これらの管理策は比較的一般的な内容であるため、どのように実装するかは各社の判断に委ねられています。
詳しくはこちら:附属書AにおけるISO 27001の管理策の理解
これらの管理策を選定する方法も同様で、両規格とも企業にリスクアセスメントの実施を求め、その後のリスク対応において附属書Aから適切な管理策を選ぶことを要求しています。興味深いことに、両規格とも採用する管理策の決定を適用宣言書(Statement of Applicability)に文書化することを求めており、同書の構成についても非常によく似た仕様を示しています。
0 件のコメント:
コメントを投稿