リスクアセスメントで洗い出したリスクは、リスクレベルを減らすために、対応を行うことがあります。ここでは、その対応の方法について説明します。
この記事では、次のトピックについて説明しています。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
本文 6.1.3
リスク対応の方法
リスク対応は、大きく以下の4つの方法があると言われています。
対応の方法 | 説明 |
---|---|
リスク低減 | リスクレベル(発生可能性、影響度)を減らしたり、リスクが発生したときの結果を変える |
リスク回避 | リスクを発生させる業務をやめる |
リスク移転 | リスクを発生させる業務を外部委託したり、保険などに加入する |
リスク保有 | リスクがあることを理解し、あえて対応しない |
リスク低減
ここでは、ややざっくりしたリスクですが「お客様からお預かりしたデータが漏えいする」というリスクを題材に、リスク対応の方法について考えてみます。
最も一般的なリスク対応の方法です。例えば、お預かりしたデータへのアクセス権を絞る(例えば、全社員から業務の担当者のみに限定する)ことにより、発生可能性を低減できます。また、業務が終了した(もう利用しない)データを都度削除することで、仮に漏えいしてしまったときの影響度を低減できます。
リスク回避
そもそもお客様からデータを預からなければ、リスクが発生することはありません。お客様から直接データをお預かりしない でも、業務が回るようにすることは、1つのリスク対応になります。
リスク移転
より専門性の高い外部業者に業務を委託することで、自社が保有するリスクを減らすことができます。外部のデータ処理会社に業務を委託する ことも、1つのリスク対応になります。
リスク保有
あえて対策を行わないという意思決定です。現実問題として、情報セキュリティに投資できるお金や人的リソースは有限なので、すべてのセキュリティリスクに対応することはできません。そのような事態に直面した場合、ISMSではあえてリスク対策を行わないことを選択することもできます。リスク保有を行う場合は、SecureNavi上では特に操作を行う必要はありません。
リスク対応計画
SecureNaviにリスク対応を登録するとき、対応を行う担当者と期限、具体的にどのような対応を行うかについても、合わせて登録する必要があります。このように、リスク対応を「いつ、だれが、どのように」行うかを定めた計画のことを規格では リスク対応計画 と呼んでいます。
残留リスク
リスク対応を行ったとしても残るリスクのことを 残留リスク と呼びます。リスク対応計画および残留リスクは、リスク所有者の承認を得る必要があります。
SecureNavi_V2でのリスク対応の登録
V2では、情報資産-リスクアセスメント-リスク対応が全て紐づいて管理されるため、リスク対応の過不足がなくなり、正確なリスク管理が実現されます(完了したリスク対応は全て社内ルールに反映されます。そのため、個別の社内ルールを検討する必要もなくなります)
詳細はSecureNavi_V2でのリスク対応の登録をご参照ください