説明
情報セキュリティ運営委員会にとって最も懸念される問題は、リスク登録簿内の一部のリスクの所有者が特定されていないことです。これは、それらのリスクを管理および軽減するための明確な説明責任や責任がなく、リスクが適切に対処または監視されない可能性があることを意味します。リスク所有者は、リスク治療オプションを実装し、残留リスクを受け入れる権限と能力を持った人物です。リスク所有者は、リスク登録簿内のリスクごとに特定および割り当てられ、リスク管理活動の状況および進捗状況を情報セキュリティ運営委員会に報告する必要があります。
参考文献 = CISM レビュー マニュアル、第 16 版 eBook1、第 2 章: 情報リスク管理、セクション:
リスク管理、サブセクション: リスク登録、104 ページ。

説明
事業活動の残留リスクが許容リスク レベルよりも低い場合、既存の管理が特定されたリスクを効果的に軽減していることを意味します。この場合、最善の行動は、コントロールの有効性を監視し、コントロールの有効性が維持されていることを確認することです。情報セキュリティ管理者は、定期的に管理を見直してテストし、適切な保護が継続的に提供されていることを確認する必要があります。ビジネス環境やリスク状況の変化を反映するために、リスク評価フレームワークを更新することも重要です。

文化は、情報セキュリティの実装方法に大きな影響を与えます。地域のビジネスリーダーによる代表は、文化的な問題に関係しない限り、大きな影響力を持たない可能性があります。取締役会の構成は、文化的な問題に比べれば大きな影響を及ぼさない可能性があります。IT セキュリティ スキルは、多国籍情報セキュリティ プログラムの設計において、文化的な問題ほど重要ではなく、大きな影響も及ぼしません。

説明
情報セキュリティへの取り組みに対する投資収益率 (ROI) の計算が難しい場合、ビジネス ケースに含めるのが最善のことは、リスクの推定削減です。リスクの軽減は、組織の情報資産やシステムに影響を与える可能性のある脅威や脆弱性の可能性と影響を軽減するため、情報セキュリティ イニシアチブを導入することで期待される利点です。リスクの軽減を見積もることにより、情報セキュリティ管理者は、組織の業績、評判、競争力に対する情報セキュリティへの取り組みの価値と利点を実証できます。情報セキュリティ管理者は、リスクの推定削減量と情報セキュリティ イニシアチブの推定コストを比較して、その費用対効果と実現可能性を判断することもできます。他のオプションは、リスク評価プロセスのインプットまたはアウトプットである可能性がありますが、ビジネス ケースに含めるのが最善のものではありません。情報セキュリティ イニシアチブを導入すると、情報セキュリティ リスクを管理する組織の能力とプロセスが向上するため、成熟度レベルの向上が予測されます。ただし、情報セキュリティ イニシアチブの実際のリスク削減や ROI が必ずしも反映されるわけではありません。長期にわたる予測コストは、情報セキュリティ イニシアチブの総所有コストと維持コストを反映するため、情報セキュリティ イニシアチブの ROI を計算する際の要素となります。ただし、この取り組みによって期待される利益や価値を示すものではありません。組織の生産性とパフォーマンスが向上する可能性があるため、情報セキュリティ イニシアチブを導入することで効率が向上すると推定され、利点が得られる可能性があります。ただし、それは情報セキュリティ イニシアチブのリスクの軽減や ROI に直接関係しない可能性があります。