前回、用語のご説明をした際に、リスクマネジメントは、

「リスクを「特定」、「分析」、「評価」し、それらのリスクを「低減」
または「移転」するプロセス」と書きましたが、
リスクへの対応方法は、低減や、移転だけに留まるものではありません。

今回は、それをもう少し詳しく解説します。

低減

適切な「管理策」を用いてリスクを許容可能なレベルまで低減することです。
言葉の定義からもわかりますが、リスクをゼロにせよといっているわけでは
ないことに注意が必要です。

CISSPはイントロダクションに書いたように、コスト意識が重要な要素です
から、割に合うレベルまで下げることができれば万々歳なのです。
理想論ではなく、現実論で語ります。

移転

リスクを組織外に転嫁することです。
保険が代表的なものですが、アウトソーシングも移転の方法の一つとなります。

回避

リスクが発生する活動、それ自体を止めてしまうことです。
低減しようとしても、コストの割が合わない場合などに選択肢としてありえます。

受容

組織が受け入れ可能なレベルのリスクを受容し、インシデントが発生した場合の影響を吸収するというものです。
軽いパンチをくらっても、倒れなければ良い、といった感じでしょうか。

以上の4つがリスクマネジメントの分類になります。

リスクに対してはこれらのうち、いずれかの対策を取ることが情報セキュリティ
を守っていくためには必要なことです。

目次
次回の記事へ
前回の記事へ