説明/参照:
参考: https://resources.infosecinstitute.com/network-design-firewall-idsips/#gref

エンタープライズリスクマネジメント（ERM）：
* ERM には、組織全体のリスクを特定、評価、管理、監視するための包括的なアプローチが含まれます。組織資産の効果的なガバナンスが重要な要素となります。
リスクプロファイルの重要性:
* 詳細なリスク プロファイルを作成することは、ERM 実装をサポートする最初のステップです。これにより、リスクの種類、潜在的な影響、発生可能性など、組織のリスク状況を明確に把握できます。
* リスク プロファイルは、リスクの優先順位付け、リソースの割り当て、適切なリスク管理戦略の確立に役立ちます。
リスクプロファイルを作成する手順:
* すべての組織資産と、それらがビジネス運営にとって重要であるかどうかを特定します。
* 各資産に関連する脆弱性と脅威を評価します。
* リスクイベントの潜在的な影響と発生可能性を判断します。
* 調査結果を文書化して、包括的なリスク プロファイルを作成します。
実装のサポート:
* 詳細なリスク プロファイルは意思決定者に情報を提供し、特定されたリスクを軽減するためのポリシー、制御、および手順の開発をサポートします。
* リスク管理プログラムの継続的な監視と改善の基盤として機能します。
その他のオプション:
* 経験豊富な人材の雇用、内部監査のスケジュール設定、リスク評価の実施は重要なアクションですが、詳細なリスク プロファイルを確立した後に行う必要があります。リスク プロファイルは、これらのアクティビティを効果的にガイドするために必要な情報を提供します。
参考文献:
* CRISC レビュー マニュアルでは、ERM プロセスの基礎ステップとして詳細なリスク プロファイルを作成することの重要性を強調しています (CRISC レビュー マニュアル、第 1 章「ガバナンス」、セクション 1.6.5「資産評価」)。