現在、ISO27001を実装していますが、リスク評価の文書化について質問があります。
リスク評価方法として [〜#〜] ebios [〜#〜] を選択しましたが、ISO 27001コンテキストとEBIOSコンテキストで、必須ドキュメントのテンプレートがいくつか見つかりました。互いに異なります。
私の質問は、同じ内容の2種類のドキュメントを作成する必要があるのか、それともこの状況ではEBIOSドキュメントで十分なのかということです。
規範の第6章のこの側面を満たすには、リスクを評価する客観的な方法があり、どの方法を選択するかを文書化する必要があります。リスク評価の結果は再現可能である必要があります(つまり、私がリスク評価を行い、同じプロセスのリスク評価を行う場合、同じリスク「スコア」で終わる必要があります)。
どの方法を使用し、どのように文書化するか、監査人は気にしません。私が上で説明したことを達成し、その特定の方法が組織に適している理由を説明できる限り。