Entry № 1051
リスク対応
リスク対応 とは何ですか?
リスク対応組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
リスク対応は、リスクマネジメントの循環の中で、評価済みのリスクに具体的な対応策を割り当てる段階です。古典的な選択肢は、受容(残留リスクをそのまま受け入れる)、低減(発生可能性や影響を抑える統制の導入)、移転(保険、契約条項、アウトソーシング)、回避(活動の停止や再設計)の 4 つです。対応計画では、責任者、コスト、期限、目標残留リスク、ISO/IEC 27001 附属書 A や NIST SP 800-53 などから選択した統制を明示します。計画はリスク登録簿で追跡され、統制が機能しなくなった場合や脅威・事業目的が変化した場合に見直されます。効果的なリスク対応は、リスクの大きさに比例し、リスクアペタイトおよびトレランスと整合している必要があります。
● 例
- 01
アカウント乗っ取りリスクを低減するための MFA と条件付きアクセスの展開。
- 02
ランサムウェアによる損失の一部を移転するためのサイバー保険の購入。
● よくある質問
リスク対応 とは何ですか?
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
リスク対応 とはどういう意味ですか?
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
リスク対応 からどのように防御しますか?
リスク対応 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
リスク対応 の別名は何ですか?
一般的な別名: リスクレスポンス, リスク低減計画。