リスクの受容
「リスクの受容」(risk acceptance)とは、JISQ27001:2006において、以下のように定義されている。
「リスクを受容する意思決定(TR Q 0008:2003)」
「リスクの受容」は、リスク基準に依存することになります。
リスクアセスメントの結果、それぞれの資産に対する情報セキュリティの各要素について、それが持っているリスクのレベルを算定します。
このレベルが予め定めたリスクに対する組織のリスク基準と比較して現行の管理策のまま対応するか、新たな管理策を採用し、脅威や脆弱性を低減するか、またはリスクの移転(保険とか選択範囲外の組織への業務委託)、またはリスクの回避の取り組みを実施するか等を判断します。
この基準以下のレベルのリスクが組織の「リスクの受容可能レベル」と言うことになります。
リスク受容基準として、脅威×資産価値のマトリックス表を作成してあるゾーンがリスク受容可能レベルとして設定しておくと分り易い。
リスク基準は、リスクの重大さを評価するために適用される尺度に依存することになります。
これは、そのリスク基準レベルで顧客も含む利害関係者の信頼と事業継続性を損なわないセキュリティレベルが維持できているかは、組織の経営陣が判断することになります。
当サイトでは、第三者配信による広告サービスを利用しています。
このような広告配信事業者は、ユーザーの興味に応じた商品やサービスの広告を表示するため、当サイトや他サイトへのアクセスに関する情報 (氏名、住所、メール アドレス、電話番号は含まれません) を使用することがあります。
取得したホスト情報などについては、広告利用状況の集計にのみ利用することをお約束します。
このプロセスの詳細やこのような情報が広告配信事業者に使用されないようにする方法については、ここをクリックしてください。
サイト管理者
【ISO27001(情報セキュリティMS), りカテゴリーの関連記事】
・ISO/IEC 15408 |
| 【このページをソーシャルブックマークしてみんなに紹介する!】 | |
 Yahoo!ブックマーク |
 はてなブックマーク |
 livedoorクリップ |
 FC2ブックマーク |
 Buzzurlブックマーク |
 newsingブックマーク |
 イザ!ブックマーク |
 del.icio.usブックマーク |
 ニフティクリップ |
 BlogPeople Instant Bookmark |
 PingKingポッケ |
|
リスクの受容を最後までお読下さいましてありがとうございます。
に関するトラックバックやコメントを受け付けています。
に関する記事をお持ちの方や関連のブログをご紹介ください。
必ず訪問させて頂きます。
このエントリーを友達に紹介する!
トラックバックを受け付けています
このエントリーのトラックバックURL:
http://blog.isovocabulary.com/mt/mt-tb.cgi/53
