兵庫WEB制作.com

【シリーズ:セキュリティ】情報セキュリティリスク対応

2018年7月5日

情報セキュリティリスクアセスメントの結果を基に、情報セキュリティリスク対応をしていきます。

情報セキュリティの管理

リスク対応の考え方

リスク対応の考え方として、リスクコントロールリスクファイナンシングリスクファイナンス)があります。

リスクコントロールは、技術的な対策など、何らかの行動で行う対策で、リスクファイナンシングは資金面での対応となります。

リスクが起こったとき、その被害を回避する、軽減するように工夫することをリスクヘッジといいます。

リスクが顕在化した際に備え、情報化保険(IT保険)を利用する方法もあります。IT事業向けの賠償責任保険や個人情報漏えいに特化した保険などが用意されています。

リスク対応の方法

リスク評価後、各リスクに対してどうのように対応していくかを決めます。

方法は、次の4つに分類されます。

1.リスク最適化(リスク低減)
一般的なセキュリティ対策となる、損失の発生確率や被害額を減少させることです。

2.リスク回避

根本原因(根本原因)を排除することで、リスクをゼロにします。
ハイリスクなサーバ運用をしない、といったものが一例です。

3.リスク共有(移転、分散)

リスクを、第三者と分割します。保険をかけるなどで、
リスク発生時の費用負担を外部に転嫁するといった方法もあります。

4.リスク保有

リスクに対して特に対応しません。受容します。(リスク受容ともいいます)

リスク対応

残留リスク

リスク対応の後に残るリスクを、残留リスクといいます。

リスク対応した結果、残るリスクの大きさを指し、結果の残留リスクを明確にして、そのリスクが許容範囲なのかどうかを、再度判断しなければいけません。

リスク対応計画

それぞれのリスクに対し、脅威を減少させるためのリスク対応方法を、いくつか策定するプロセスのことをリスク対応計画といいます。

特定したリスクをまとめたリスク登録簿を用意し、それぞれのリスクに対する戦略を考えて、リスク登録簿を更新します。

リスクコミュニケーション

リスクに関する正確な情報を、企業の利害関係者同士でシェアして、相互の意思疎通をはかる必要があり、それをリスクコミュニケーションといいます。

災害などの、重大で意識共有が必要なリスクに行われます。

– –

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

その他のコラム

Facebook TWITTER LINE