ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

リスク対策をしていれば、対策することはなくなるのでしょうか。

11.05.2019

B06-D04の「リスクグループ分析対策表」がよくわからないでおります。

対策をしていればほとんどなくなるのでしょうか?

リスクグループ分析対策表の目的としては、情報資産に対するリスクを抽出し、対策を講じるものなので、一番最初は、当然その数は多いかと思いますが、徐々に減っていくことになるでしょうね。
ただ、100%の対策というのは無理なため、リスクの低減はできますが無くなることは無いかと思います。

また、「組織の状況の確認(4.1および4.2)」を受け「リスクアセスメント(6.1)」へとプロセスが流れることを考えると、組織の状況(内部及び外部)の状況に変化があれば、「リスクグループ分析対策表」への記載も追加されるため、対策として「0(ゼロ)」になることはないでしょうね。

例えば、変化が生じた場合(法規制の改定、ステークホルダーの新たな要求、退職や組織変更、移転など)には、今までの対応のみでは無理で新たな対応やブラシュアップが必要になるかと思います。

ちなみに、補足として1つ例ですが、ヒヤリハットを収集し分析すると新たな脆弱性やリスクが見つかる場合もありますよ。