- 現場でリスクアセスメントをやっていない。非情に基本的なことだが、本来は自分の問題を事務局に任せる運営になっている。
- こういうところは弱点の報告、ひやりはっとの類は上がらない。リスクアセスメントそのものをやらないので、資産の変化、脅威脆弱性の変化が、自分たちの態度にどのように反映すべきかが分からない。
- 詳細なリスク分析は資産価値にレベル3が合った場合。CIAのどれかがレベル3なら実施。資産価値は1~3の3段階。しかしこの場合は、該当するし算数の割合も見ないと適切かどうか分からない。下手をすると形骸化する。ミニマム20%は実施とか別の切り口も必要。
- リスクアセスの手法はオーソドックスだが、受容レベルが20近い値で極めて高い設定になっているのも懸念。
- 場所、時間、アテンディーのバランスが悪い。本社の管理機能などが各サイトに分散しているので、仕組み確認と現場確認の割り振りが明確になる工夫が必要。複数の審査員で見るときは役割分担も連携も必要。全体のマネージは弱い。
- バイオ認証におけるバイオデータの取扱の確認が出来ていない。バイオ情報の深刻さに気付いていない。