4. 組織の状況
旧バージョン4.2.1a)の密度が濃すぎたから丁度よくなった。リスクアセスに関する重複も少し解消されたかもしれない。
- 4.1 組織及びその状況の理解
外部及び内部の課題を決定は、旧バージョンの8.3予防処置と同じな訳はありません。むしろリスクアセスメントの方が近い概念だ。旧バージョン4.2.1a)の事業・組織・所在地・資産・技術の特徴はここに入る。
- 4.2 利害関係者のニーズ及び期待の理解
利害関係者の要求事項を把握。法的、規制要求事項、契約上の義務はステークホルダーの要求事項に含まれることは確実。
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
「4.1」「4.2」を踏まえてISMS適用範囲を決める。管理スパン(責任範囲・権限の範囲・・・)を決める。
- 4.4 情報セキュリティマネジメントシステム
ここはなに。ISMSの現状ですか。
***
