リスク対応では、まだ実施していないセキュリティ対策への計画を行うことで、リスク値を下げる取り組みを行います。
追加で実施するリスク対応策の特定
リスクアセスメントの取り組みで、提案されたリスク対応について、すでに社内で実施されているものについては「実施済」というステータスをつけていただきました。この取り組みで対象となるのは、「実施済」以外のリスク対応、つまり、「保留中」になっているリスク対応です。
保留中のリスク対応については、紐づくリスクのリスクレベルに応じて、以下の対応を行います。
Case.1 紐づくリスクのリスクレベルが、リスク受容基準を超えている場合
リスクアセスメントの取り組みにおいて、リスクレベルがリスク受容基準を超えている場合は、必ず何らかの追加のリスク対応を実施し、リスクレベルを下げる必要があります。リスク対応のステータスを「計画中」に切り替えることで、リスク対応を計画することができます。
Case.2 紐づくリスクのリスクレベルが、リスク受容基準を超えていない場合
追加のリスク対応は必ずしも求められてはいませんが、できれば可能な限りでリスク対応を実施するに越したことはありません。リスクレベルが低い状態に甘んじることなく、実施できるリスク対応は、積極的に実施するようにしましょう。理想は、保留中のリスク対応がなくなり、すべてのリスク対応が何らかの判断をされている状況を目指しましょう。
SecureNaviのプリセットデータ以外で、リスク対応を設定したい場合は以下手順をご参考ください。
(独自作成の場合は、同名のリスク対応でも別のルールとして扱われますのでご注意ください)
リスク対応の却下
自動提案されるリスク対応の中には、現在の社内リソースでは実施できない取り組みも含まれていることでしょう。その場合は、リスク対応のステータスを「却下」する事ができます。却下した場合は、なるべくその理由をコメントしておくことが好ましいです。「社内リソースが不足しているため」「現在の当社だと、過剰な対策となるため」など、理由は何でも構いませんので、メモ程度に却下の理由を残しておきましょう。
リスクレベルの再評価
リスク対応のステータスの振り分けが終わると、改めてリスクレベルを再評価することが望ましいです。「計画中」のリスク対応がいくつか存在する状態で、リスク一覧の画面を表示すると、多くのアラートが発生しているはずです。これは、リスク対応が追加で行われる予定にも関わらず、追加で行われた場合に、リスクレベルがどのくらい下がるかが、まだ登録されていないことを意味します。
アラートが表示されているリスクについては、リスク対応後の発生可能性と影響度を登録することで、アラートを非表示にできます。現在のリスクレベルが、仮にリスク受容基準を上回る物があったとしても、対応後のリスクレベルは、すべてリスク受容基準以下に収まるよう、リスク対応の計画が策定されることが望ましいです。
適用宣言書への反映
ISMSで必須となる「適用宣言書」は、リスク対応を進めると自動的に反映される仕組みとなっています。SecureNaviが提供するリスク対応のプリセットデータは規格項番と紐づいているためです。
|
適用宣言書への反映 | |||
採否 | 実施の状態 | 採否の理由 | ||
リスク対応
ステータス |
保留中 | Yes | 実施予定 |
リスク対応に紐づくリスクは反映されない(表出されない)
|
計画中 | Yes | 実施予定 |
リスク対応に紐づくリスクが反映される
|
|
実施済 | Yes | 実施中 |
リスク対応に紐づくリスクが反映される
|
|
却下 | Yes | 実施予定 | - | |
ステータスが実施済以外、かつ「適用除外」を宣言した場合 | No | - | 適用除外のコメントが反映される |
独自でリスク対応を追加された場合も、規格項番を紐づけていただくことで、適用宣言書への反映が可能です。
※上記表の通り、適用宣言書の採否の理由欄にリスクを表出させたい場合は、リスク対応ステータスを計画中または実施済にしていただく必要があります。リスク対応要否が定まっていない場合は、暫定的な期限や担当者を設定してステータスを計画中にしていただくことで、採否の理由欄にリスクを表出することができますのでご参考ください。