前回までのリスク分析の話に続いて、今回は対策について解説します。

最重要なのは費用対効果!

再三書いていますが、CISSPはリアリスト的な考え方を持った試験ですので、
常に考えなくてはならないのは、「費用対効果」の分析 です。リスク対策
が費用に合わなかったら、受容しても良いのです。

証跡を残す

それから、説明責任を果たせることも非常に重要です。
きちんとした施策に乗っ取って、リスク対応していた証跡を残しましょう。
証拠もなく、「ちゃんとやってましたよ~」
などと小学生のような言い訳をしてもダメだということです。
きちん定めた決定のプロセスに従って決めた事を、議事録として保管し、
それを従業員が順守していたことを示せるようにしておきます。

作成者とチェック者は必ず別な人にする

また、それを管理する担当者の独立性も重要なポイントです。
これは、以前解説した、「職務の分離」の原則に従います。セルフチェックのみ
では許されません。そこにミスや意図的な不正が入り込む隙が生じるためです。

事前合意を忘れない

a0003_001887

最後に、これは結構忘れがちですが、これらの対策を取ることを予め、従業員と
合意しておく必要があります。
勝手な対策を作って、一方的に押し付けているだけではいけません。

例を挙げれば、監視カメラの設置時や業務用メールのアーカイブを取るときの事
などを思い描いていただければ、イメージが沸きやすいかと思います。

そんなことを無断で行っていた日には、情報セキュリティを守るためとはいえ、
反感を招き、効果的な対策を行っていくことはできません。

以上のことが、リスク対策を考える上での原則となります。

目次
次回の記事へ
前回の記事へ