セクション: 情報リスク管理

セクション: 情報リスク管理
Explanation:
リスクは、組織のリスク選好に基づいて、許容できるレベルまで削減する必要があります。リスクをゼロにするのは非現実的であり、コストがかかりすぎる可能性があります。リスクを収益のパーセンテージに結び付けることは、両者の間に直接的な相関関係がないため、お勧めできません。自然災害の起こりやすさのように、リスク発生の可能性を減らすことは必ずしも可能ではありません。リスクの可能性を減らすことではなく、組織にとって許容できるレベルまで影響を減らすことに重点を置く必要があります。

説明
リスク受容とは、セキュリティ制御を適用した後の残存リスクのレベルを受容し、セキュリティ インシデントの潜在的な影響と結果を許容するという決定です。リスク受容の承認は、リスクにさらされるビジネス プロセス、アクティビティ、および資産の所有者であり、責任を負う当事者であるビジネス上級管理職によって提供される必要があります。ビジネス上級管理職には、リスク受容の決定を実施および監視するためのリソース、人員、および予算を割り当て、リスク受容のステータスを取締役会または経営幹部に報告してエスカレーションする権限と責任も必要です。
最高リスク管理責任者 (CRO) (A) は、組織のリスク管理機能を監督し、組織全体のリスクの特定、評価、処理、監視に関する指導、指示、サポートを提供する上級管理職です。CRO は、リスク受け入れの決定のレビュー、承認、または助言など、リスク受け入れプロセスに関与する場合がありますが、リスクにさらされるビジネス プロセス、アクティビティ、および資産の所有者または責任者ではないため、リスク受け入れの最終承認者ではありません。
情報セキュリティ マネージャーは、情報セキュリティ機能を主導および調整し、情報セキュリティ プログラムとアクティビティの開発、実装、および保守に関するガイダンス、指示、およびサポートを提供するマネージャーです。情報セキュリティ マネージャーは、リスク評価の実施、リスク処理オプションの推奨、リスク受け入れ決定の文書化など、リスク受け入れプロセスに関与する場合がありますが、情報セキュリティ マネージャーはリスクにさらされるビジネス プロセス、アクティビティ、および資産の所有者または責任者ではないため、リスク受け入れの最終承認者ではありません。
コンプライアンス担当者 (D) は、組織のコンプライアンス機能を監督し、組織全体のコンプライアンス要件と義務の特定、評価、実装、監視に関するガイダンス、指示、サポートを提供する担当者です。コンプライアンス担当者は、リスク受け入れの決定の検証、妥当性確認、助言など、リスク受け入れプロセスに関与する場合がありますが、リスクにさらされるビジネス プロセス、アクティビティ、資産の所有者または責任者ではないため、リスク受け入れの最終承認者ではありません。
参考文献 = CISM レビューマニュアル、第 16 版、第 2 章: 情報リスク管理、セクション: リスク処理、サブセクション: リスク受容、95-961 ページ

セクション: 情報セキュリティプログラム管理