これのb)項とc)項の違いが分からない。と言うことはリスク対応計画が良く分かっていないことになる。世の中のISMSを見たり聞いたりすると(極めて少ないサンプルには違いないが)、リスク対応計画と管理策の違いを本質的に理解しているところは少ない。リスク改善に繋がるのでどちらであっても結果には大きく影響しないから特に問題にする必要は無いということでしょう。でも正しく理解しておくことも大事ですから、少しトライしてみます。
- 4.2.2c) 管理策の実施:
既に策定されている管理策の整然たる遂行。 - 4.2.2a) リスク対応計画の立案:
システム(ISMS)の構築レベルが不十分で管理策の実施に入れる状態にない場合、不足分の工事をやる必要がありますがそのプラン(リスク対応計画)の立案を行うことです。 - 4.2.2b) リスク対応計画の実施:
プランの実施です。これによりシステム(ISMS)は変化し(改善され)目的の水準に達します。 - リスク対応はシステムに変化を及ぼす。管理策はシステム自身は変化しない。管理策を黙々やっていくだけではシステムの改善は行われません。毎年チャレンジ項目を決めてリスク対応計画として消化していくことが大事です。
