来年6月くらいにISMS ver2.0の認証を目指して活動中なんですが、いよいよリスクアセスメントの段までたどり着きました。

手順は

どんな業務があるか?
どんな情報資産があって資産価値(重要度)がどれくらいか?
どの業務をするのに、どんな情報資産を使うのか?
それら情報資産にはどんな脅威と脆弱性があるか?
それらの脅威・脆弱性に対してどんな対応を取るか?

と・・・まだまだ先は長そうです。げっそり。。。