取得のためのポイントは3つあります。
ポイント1:組織の状況の確定
場当たり的にセキュリティ対策を行うのではなく、
会社にとっての経営課題を明確にし、仕組みに関連付け、
守るべきものは何か(重要な情報資産は何か)を明確にすること。
ポイント2:リスクアセスメントの実施
組織の状況を考慮した上で、
リスクアセスメント(リスク分析)を行い、
適切な情報セキュリティのリスク対応を決めること。
ポイント3:リスク対策は、PDCAで取り組む
リスクを低減させるものには、組織的な対策を行い、
一連の活動には、PDCAサイクルが適用されていること。