非準拠のコントロールとは、監査、規制、またはポリシーの要件または基準を満たさないコントロールです。非準拠のコントロールにより、組織はエラー、不正行為、違反などのリスクにさらされる可能性があります。非準拠のコントロールが特定された場合、サービス プロバイダーとクライアントは協力して、できるだけ早く問題を解決する必要があります。ただし、解決策が実現可能でなかったり、費用対効果が低い場合もあり、クライアントは非準拠のコントロールに関連するリスクを受け入れることを決定することがあります。
この場合、サービス プロバイダーの最も適切なアクションは、プロバイダーの正式なリスク受け入れを文書化するようクライアントに依頼することです。これは、クライアントが非準拠コントロールの存在と結果を認識し、リスクを受け入れるための正当な理由を文書で提供する必要があることを意味します。リスク受け入れ文書には、サービス プロバイダーとクライアントの役割と責任、およびリスク受け入れの期間と条件も明記する必要があります。リスク受け入れ文書は、クライアントの上級管理職とサービス プロバイダーの管理者によって署名され、監査証拠の一部として保管される必要があります。
その他のオプションは、サービス プロバイダーにとって適切なアクションではありません。クライアントの決定を無視してリスク改善計画を作成することは、クライアントの権限と好みを無視することになるため、無礼で非専門的です。次の監査でこの項目について状況を説明するメモを作成するだけでは不十分であり、誤解を招く可能性があります。問題がまだ解決されておらず、サービス プロバイダーがその責任を負っていることを暗示することになります。他の顧客の利益のために改善を行うように主張することは、クライアントのビジネス ニーズと制約を無視し、サービス プロバイダーとクライアントの関係に悪影響を与える可能性があるため、不合理で非現実的です。参考資料
* リスク受容 - 内部監査人協会
* リスク評価基準への不適合の評価とピアレビューの影響に関する新しいガイダンス - 改訂版
* コンプライアンス違反の影響：リスクと結果を理解する

コントロール所有者は、コントロールの例外を承認する権限を持つ人物です。コントロールとは、リスクを防止または軽減するために実装されるポリシー、手順、または技術的手段です。コントロール所有者は、コントロールの設計、実装、運用、および保守、ならびにそのパフォーマンスと有効性の監視と報告に責任を負います。また、コントロール所有者は、リスク評価とビジネス上の正当性に基づいて、コントロールに対する変更または例外を承認する責任も負います。
情報セキュリティ マネージャー、リスク所有者、リスク マネージャーは、コントロールに関してコントロール所有者と同じレベルの権限、責任、知識を持たないため、最適な選択肢ではありません。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、35 ページ。

リスク レジスターは、リスクの説明、カテゴリ、所有者、確率、影響、対応戦略、ステータス、およびアクション プランなど、特定されたリスクに関する情報を記録して追跡するツールです。リスク レジスターを確認することは、組織が直面するリスクの性質とレベルの概要である全体的なリスク プロファイルを組織が把握するのに最適な方法です。リスク レジスターを確認することで、組織はリスクのソース、原因、結果、発生可能性と影響、相互関係と依存関係、およびリスク選好度と許容度との整合性について、包括的かつ全体的な見解を得ることができます。リスク レジスターは、組織がリスクを優先順位付けし、リソースを割り当て、リスク対応を選択し、リスク パフォーマンスを監視し、リスクの結果を評価するのにも役立ちます。参考文献 = CRISC レビュー マニュアル、第 7 版、99 ページ。

* 独立評価:
* 客観的な評価: 資格のある独立した第三者による評価により、新しいコントロールの評価が公平かつ徹底したものになることが保証されます。コントロールの有効性について、信頼性の高い検証が提供されます。
* 専門知識と標準: 独立した評価者は専門知識を持ち込み、確立された標準とベストプラクティスに従って、制御の実装の包括的なレビューを確実に実行します。
* 検証と保証: この評価により、コントロールが意図したとおりに機能し、必要なセキュリティおよび運用基準を満たしていることが関係者に保証されます。
* 他のオプションとの比較:
* 主要担当者による実装後のレビュー: このレビューは貴重ですが、独立した評価の客観性と徹底性に欠ける可能性があります。
* 上級管理職の承認: 上級管理職からの承認は重要ですが、独立した評価が提供する制御の有効性の詳細な検証は提供されません。
* 人間の介入なしのロボットの日常的な操作: これは操作の安定性を示しますが、すべての制御が意図したとおりに機能していることを検証するものではありません。
* ベストプラクティス:
* 定期的な独立評価: 制御の有効性を継続的に検証するために、定期的な独立評価をスケジュールします。
* 包括的な報告: 独立した評価には包括的な内容が含まれていることを確認する
* 調査結果と改善のための推奨事項の報告。
* フォローアップ アクション: 評価で推奨されたアクションを実装して、コントロールで特定されたギャップや弱点を解決します。
* CRISC レビュー マニュアル: 制御の有効性を検証し、包括的なリスク管理を確保するためのベスト プラクティスとして、独立した評価を推奨します。
* ISACA 標準: 制御実装の客観的かつ信頼性の高い評価を提供するために、独立した評価の使用をサポートします。
参考文献:

サイバーセキュリティ インシデント対応手順とは、組織がサイバーセキュリティ攻撃に対応し、そこから回復するために実行する計画と行動のことです。これには、攻撃のソースと範囲の特定、脅威の封じ込めと根絶、通常の運用の回復、根本原因と教訓の分析が含まれます。サイバーセキュリティ インシデント対応手順を見直すことは、サイバーセキュリティ攻撃が成功する可能性が高まり、潜在的な損失が組織のリスク許容度を超える可能性がある場合に最も効果的な行動方針です。これは、攻撃の影響と期間を最小限に抑え、組織の回復力とセキュリティ体制を向上させるための準備に役立ちます。