リスク登録簿
リスク登録簿 とは何ですか?
リスク登録簿識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
リスク登録簿は、リスクマネジメント活動から生み出される中心的な記録です。各エントリには通常、固有の識別子、明確なリスク説明、影響を受ける資産や業務、脅威源、固有リスクと残留リスクのスコア、リスクオーナー、合意した対応策、主要な統制、レビュー予定日が含まれます。登録簿は定められた頻度で見直され、新しい脅威・プロジェクトの変化・インシデント発生時に更新されます。取締役会への報告、内部監査、当局からの照会、セキュリティ投資の優先順位付けを支える基盤となります。良く運用された登録簿はエントリを実行可能な状態に保ち、盲点とリスク疲労の両方を回避します。
● 例
- 01
GRC ツール上で 250 件の全社リスクを四半期ごとに見直す運用。
- 02
プロジェクトリスク登録簿がステアリングコミッティで全社リスク登録簿に統合される例。
● よくある質問
リスク登録簿 とは何ですか?
識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
リスク登録簿 とはどういう意味ですか?
識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
リスク登録簿 はどのように機能しますか?
リスク登録簿は、リスクマネジメント活動から生み出される中心的な記録です。各エントリには通常、固有の識別子、明確なリスク説明、影響を受ける資産や業務、脅威源、固有リスクと残留リスクのスコア、リスクオーナー、合意した対応策、主要な統制、レビュー予定日が含まれます。登録簿は定められた頻度で見直され、新しい脅威・プロジェクトの変化・インシデント発生時に更新されます。取締役会への報告、内部監査、当局からの照会、セキュリティ投資の優先順位付けを支える基盤となります。良く運用された登録簿はエントリを実行可能な状態に保ち、盲点とリスク疲労の両方を回避します。
リスク登録簿 からどのように防御しますか?
リスク登録簿 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
リスク登録簿 の別名は何ですか?
一般的な別名: リスクログ, サイバーリスク登録簿。
● 関連用語
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 935
リスクアセスメント
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
- compliance№ 939
リスク対応
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
- compliance№ 923
残留リスク
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
- compliance№ 383
全社的リスクマネジメント(ERM)
戦略・財務・業務・コンプライアンス・サイバーといった全社のリスクを、事業目標に沿って統合的に識別・統治・対応するアプローチ。
- compliance№ 557
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。