リスク台帳
1. 目的
本台帳は、{{組織名}}のリスクアセスメント結果を記録・管理し、リスク対応の進捗を追跡することを目的とする。
2. 適用範囲
本台帳は、ISMS 適用範囲({{適用範囲}})における全てのリスクに適用する。
3. リスク一覧
| リスクID | 関連資産 | 脅威 | ぜい弱性 | 資産価値 | 影響度 | 発生可能性 | リスク値 | リスクレベル | 対応方針 | 状況 |
|---|---|---|---|---|---|---|---|---|---|---|
| R-001 | {{資産}} | {{脅威}} | {{ぜい弱性}} | {{1-3}} | {{1-3}} | {{1-3}} | {{値}} | {{高/中/低}} | {{方針}} | {{状況}} |
| R-002 | {{資産}} | {{脅威}} | {{ぜい弱性}} | {{1-3}} | {{1-3}} | {{1-3}} | {{値}} | {{高/中/低}} | {{方針}} | {{状況}} |
| R-003 | {{資産}} | {{脅威}} | {{ぜい弱性}} | {{1-3}} | {{1-3}} | {{1-3}} | {{値}} | {{高/中/低}} | {{方針}} | {{状況}} |
4. 評価基準
リスク値の算出
リスク値 = 資産価値 × 影響度 × 発生可能性
リスクレベル判定
| リスク値 | リスクレベル | 対応要否 |
|---|---|---|
| 18-27 | 高 | 即座に対応必要 |
| 8-17 | 中 | 計画的に対応 |
| 1-7 | 低 | 受容可能(監視継続) |
対応方針
| 方針 | 説明 |
|---|---|
| 修正 | 管理策を適用してリスクを低減 |
| 保有 | リスクを受容(受容基準内) |
| 回避 | リスクを生じる活動を中止 |
| 共有 | 保険、委託等でリスクを共有 |
5. リスク対応進捗
対応が必要なリスクの詳細は「リスク対応計画」に記載する。
6. 管理
- リスクアセスメント実施時に更新
- リスク対応状況を四半期ごとにレビュー
- 新たなリスクが特定された場合は随時追加
7. 関連文書
改訂履歴
| 版 | 日付 | 変更内容 | 承認者 |
|---|---|---|---|
| 1.0 | {{発効日}} | 初版作成 | {{承認者}} |