対策前リスク値が受容レベルを超えているリスクは必ず「保有」以外のリスク対応をしなければならないのでしょうか?
「リスクグループ分析対策表」について質問があります。
適用範囲内にWindows 7 PCを設置しており、適用範囲外に設置されているWindows Server 2012サーバのドメインに参加させる予定です。
Windows Server 2012サーバは、適用範囲外に設置されてはいますが、適用範囲内の資産であるWindows 7 PCに対する影響が大きい為、「情報資産台帳」に記載しました。
Windows Server 2012サーバについて、「リスクグループ分析対策表」を作成していますが、対策前リスク値が受容レベルを超えているリスクがいくつかあります。
これらのリスクは必ず「保有」以外のリスク対応をしなければならないのでしょうか?
「保有」を選ぶとしたら、どのような理由が必要でしょうか?
前回の審査で、適用範囲外に置いているISMS関連文書(電子データ)とISMS登録証についてもリスクアセスメントを実施するように指摘された為、Windows Server 2012サーバを「情報資産台帳」から削除するという選択肢は考えられません。
リスクは必ず「保有」以外のリスク対応をしなければならないという訳ではありません。
何を選択するかは会社の方針によっても異なりますので、「保有」を選択されても問題ありません。
但し、審査の際に「なぜ保有にするのか?」の理由を聞かれた場合は、審査員にも納得ができるような理由付けが必要となります。
以下に例を示しますので、ご参考ください。
例1) 費用対効果
小規模な企業では、この場合が多くあてはまるかもしれませんね。
『対応するための費用(工数も含む)が高く、弊社では対応できる状況・環境ではない。』
例2) 可用性を最優先
これは、例外として設ける場合になります。
『弊社は顧客からの要求もあり、一部業務に関しては「機密性」、「完全性」よりも「可用性」を最優先する必要性があり、これは自社の経営方針でもある。』
例3) 長期的で建設的な対応
これは、一時しのぎとしての対応となります。
『現状ではそれ以外の優先順位の高いリスク対応があり、本件のリスク対応の優先順位を低く設定していますが、現在、保有しているリスクも把握しており長期的スパンでのリスク対応を考えています。』
その他、以下の資料の記載内容も参考になるかと思いますので確認して下さい。
「ISMSユーザーズガイド (リスクマネジメント編)」
3.3.1 作業 5 リスク対応を行う -(5)リスクを取る又は増加させる
(5)リスクを取る又は増加させる
「ある機会を追求するために、リスクを取る又は増加させる」とは、リスク顕在化時のリターンとして大きな機会(好影響をもたらすもの)が望める場合に、新たなリスクを取ったり、既存のリスクを増加させたりすることです。 ビジネスリスクの検討時によく適用され、例えば、新たな事業をはじめるために必要な投資に対して、その事業により大きな利益が見込める場合などに選定される選択肢です。情報セキュリティにおいて、この選択肢を選定するケースとしては、次のような場合が考えられます。
- ■ あるリスクに対する対策の適用により、新たな別のリスクの発生が想定される場合
「あるリスク」の低減後のリスクレベルと、新たに発生したリスクのリスクレベルを比較し、新たなリスクをとることを決定する場合には、「(新たな)リスクを取る」選択をすることになります。このようなケースは、リスクに対する対策を検討する際に多く発生します。具体的な例を挙げます。メールの宛先アドレスの入力時に、過去に送受信したアドレスから候補を推測表示することで入力を支援する機能が設定されている場合、この機能が誤送信を誘発するとして、機能を無効にする対策をとる場合があります。この対策により、メールアドレスの選択ミスは減りますが、すべてを手入力するために、メールアドレスをミスタイプするリスクは増加することになります。この例では、誤ったメールアドレスを選択し、想定しなかった相手にメールを送信するリスクと、メールアドレスのミスタイプにより、想定した相手にメールが届かないリスクを比較して、前者のリスクの影響がより大きいと判断し、この機能を無効にする選択をした場合に、新たなリスクを取る選択をしたことになります。
この例に限らず、あるリスクに対する対策をとることで、別のリスクが発生するケースはよくあります。そのような場面では、元々のリスクを受容するのか、新たに発生するリスクを取るのか、あるいはさらに別の対策を検討するのかなど、多面的に検討することが重要となります。※「ISMSユーザーズガイド(リスクマネジメント編 )」より
