Entry № 1034
残留リスク
残留リスク とは何ですか?
残留リスク計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
残留リスクは、固有リスクから既存または予定された統制によって発生可能性や影響が低減された後に残るリスクです。統制は完璧でなく脅威も変化するため、意思決定上、最も重要な指標となります。組織は残留リスクをリスクアペタイトおよびトレランスと比較し、これを上回るものはさらなる対応・エスカレーション、もしくは文書化された根拠と責任者の下での正式な受容を必要とします。残留リスクはリスク登録簿に記録され、統制の機能不全、脅威の変化、新たな依存関係の発生時に重点的に見直されます。取締役会と規制当局は、判断の妥当性を示す残留リスクの明示的な報告を一層強く求めるようになっています。
● 例
- 01
MFA、教育、メールフィルタリング導入後に残るフィッシング侵害の残留リスク。
- 02
廃止予定のレガシーシステムの残留リスクを文書化したうえで受容する事例。
● よくある質問
残留リスク とは何ですか?
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
残留リスク とはどういう意味ですか?
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
残留リスク からどのように防御しますか?
残留リスク に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
残留リスク の別名は何ですか?
一般的な別名: ネットリスク, 統制後リスク。