対策前リスク値が受容レベルを超えているリスクは必ず「保有」以外のリスク対応をしなければならないのでしょうか?
「リスクグループ分析対策表」について質問があります。
適用範囲内にWindows 7 PCを設置しており、適用範囲外に設置されているWindows Server 2012サーバのドメインに参加させる予定です。
Windows Server 2012サーバは、適用範囲外に設置されてはいますが、適用範囲内の資産であるWindows 7 PCに対する影響が大きい為、「情報資産台帳」に記載しました。
Windows Server 2012サーバについて、「リスクグループ分析対策表」を作成していますが、対策前リスク値が受容レベルを超えているリスクがいくつかあります。
これらのリスクは必ず「保有」以外のリスク対応をしなければならないのでしょうか?
「保有」を選ぶとしたら、どのような理由が必要でしょうか?
前回の審査で、適用範囲外に置いているISMS関連文書(電子データ)とISMS登録証についてもリスクアセスメントを実施するように指摘された為、Windows Server 2012サーバを「情報資産台帳」から削除するという選択肢は考えられません。
リスクは必ず「保有」以外のリスク対応をしなければならないという訳ではありません。
何を選択するかは会社の方針によっても異なりますので、「保有」を選択されても問題ありません。
但し、審査の際に「なぜ保有にするのか?」の理由を聞かれた場合は、審査員にも納得ができるような理由付けが必要となります。
以下に例を示しますので、ご参考ください。
例1) 費用対効果
小規模な企業では、この場合が多くあてはまるかもしれませんね。
『対応するための費用(工数も含む)が高く、弊社では対応できる状況・環境ではない。』
例2) 可用性を最優先
これは、例外として設ける場合になります。
『弊社は顧客からの要求もあり、一部業務に関しては「機密性」、「完全性」よりも「可用性」を最優先する必要性があり、これは自社の経営方針でもある。』
例3) 長期的で建設的な対応
これは、一時しのぎとしての対応となります。
『現状ではそれ以外の優先順位の高いリスク対応があり、本件のリスク対応の優先順位を低く設定していますが、現在、保有しているリスクも把握しており長期的スパンでのリスク対応を考えています。』
その他、以下の資料の記載内容も参考になるかと思いますので確認して下さい。
「ISMSユーザーズガイド (リスクマネジメント編)」
3.3.1 作業 5 リスク対応を行う -(5)リスクを取る又は増加させる
