情報セキュリティ ポリシー例外プロセスを実装する際にセキュリティ リスクが適切に対処されていることを確認する最善の方法は、プロセス所有者が残留リスクを受け入れていることを確認することです。残留リスクとは、元のリスクを軽減するための制御または緩和策を適用した後に残るリスクです1。プロセス所有者は、ビジネス プロセスの設計、実行、パフォーマンスを担当する個人またはグループです2。
プロセス所有者が残留リスクを受け入れていることを確認することで、企業はポリシー例外に関連するセキュリティ リスクが関係する利害関係者によって理解され、認識され、合意されていることを確認できます。これは、ポリシー例外の潜在的な結果に対する説明責任と賠償責任を割り当てること、およびリスク レベルと制御または緩和策の有効性を監視およびレビューすることにも役立ちます。他のオプションは、情報セキュリティ ポリシー例外プロセスを実装する際にセキュリティ リスクが適切に対処されていることを確認するために、プロセス所有者が残留リスクを受け入れていることを確認することほど効果的ではありません。内部および外部のネットワーク侵入テストを実行することは、ネットワーク インフラストラクチャの脆弱性を特定して悪用するための便利な手法ですが、ポリシー例外に関連する特定のセキュリティ リスクには対処しません。セキュリティ ポリシー例外に関する IT セキュリティ承認を取得することは、ポリシー例外を検証および承認するために必要な手順ですが、プロセス所有者が残留リスクを認識して受け入れていることを保証するものではありません。業界のベスト プラクティスに対してポリシーをベンチマークすることは、ポリシーの品質とパフォーマンスを比較して改善するための優れた方法ですが、ポリシー例外に関連するセキュリティ リスクには対処しません。

説明/参照: https://bernardmarr.com/default.asp?contentID=1515