その他令和7年8月29日

情報セキュリティリスク管理および資源管理に関するガイドライン

掲載日
令和7年8月29日
号種
号外
原文ページ
p.102
出典:官報発行サイト(内閣府)の掲載情報をもとに整理しています。重要な確認は公式原文を基準にしてください。
原文確認推奨
抽出テキストだけで判断せず、必要に応じて原文画像または PDF で確認してください。

本文と原文の対照

まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。

← 同日の官報に戻る
原文対照の表示オプション

情報セキュリティリスク管理および資源管理に関するガイドライン

令和7年8月29日|p.102

左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。

公式原文あり本文テキスト画像照合可誤りを報告
201
701(自6(第1號(第2日87日67日67日8年/年令
b)リスク分析の際には、以下の点についても考慮する。
・リスクの原因及びリスク源
・リスクの好ましい結果及び好ましくない結果
・リスクの発生頻度
・リスクの結果及び発生頻度に影響を与える要素
なお、リスク分析は、状況に応じて、定性的、半定量的、定量的、又はそれ
らを組み合わせた手法で行うことが可能である。
4.4.7.4組織は、以下によって、情報セキュリティリスクを評価する。[27001-6.1.2e)
・リスク分析の結果、決定されたリスクレベルとリスク基準との比較をする。
・リスク対応のための優先順位付けを行う。
・リスク評価の結果は今後の改善に利用するため保管する。
なお、リスク対応の優先順位を決定する際には、より広い範囲の状況を考慮し、
他者が負うリスクの受容レベルについて考慮するとともに、法律、規制、その他の
要求事項についても考慮する。
4.4.8情報セキュリティリスク対応「27001-6.1.3
4.4.8.1組織は、情報セキュリティリスクアセスメントの結果を考慮して、適切な情報セキュ
リティリスク対応の選択肢を選定する。「27001-6.1.3a)
情報セキュリティリスク対応の選択肢には,以下が含まれる。
・リスクを生じさせる活動を開始又は継続しないと決定することによるリスクの
回避
・ある機会を目的としたリスクの引受け又はリスクの負担
・リスク源の除去
・発生頻度の変更
・結果の変更
・(契約及びリスクファイナンスを含む)他者とのリスクの共有
・情報に基づいた意思決定によるリスクの保有
さらに、リスク対応の評価や改善に役立てるため、どの選択肢を選んだ場合も、
その理由を明確にし、記載する。
4.4.8.2組織は、選定した情報セキュリティリスク対応の実施に必要な全ての管理策を決定
する。[27001-6.1.3b)
リスク対応のための方針を決めた上で、管理策の目的(管理目的)及び管理策に
ついて検討する。以下を考慮しつつ、対応による効果と対応に必要な費用及び労力
のバランスを取り、適切な情報セキュリティ対応の選択肢を選定する。
・リスクの受容可能レベル
・関連する法令
・規制や契約上の要求事項
・その他の社会的責任
なお、具体的な管理策の選定においては、管理目的に対応した「管理策基準」か
ら適切なものを選択するが、「管理策基準」はすべてを網羅しているわけではないの
で、組織の事業や業務などによってその他の管理策を追加してもよい。
4.4.8.3組織は、管理策が見落とされていないことを検証する。[27001-6.1.3c)]
必要な管理策の見落としがないか、管理策基準を参照するが、管理策基準に示す
管理目的及び管理策以外の管理目的及び管理策が必要になった場合、他の管理目的
及び管理策を追加することができる。
4.4.8.4組織は、情報セキュリティリスク対応計画を策定する。[27001-6.1.3e)]
a)情報セキュリティリスク対応計画には、以下を含む。
・期待される効果を含む、対応選択肢選定の理由
・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者
・対応内容
・必要な資源
・費用・労力、制約
・後日の報告、監視に必要な要求事項
・対応時期及び日程
b)責任及び権限について
情報セキュリティマネジメントにおいては最終的な承認をトップマネジメン
トが行っていることがほとんどであり、責任がトップマネジメントに集中して
いる。
一方で、情報セキュリティリスクアセスメント及びリスク対応については,
責任及び権限をもつリスク所有者が、責任及び権限をもつ。
リスク所有者は、トップマネジメント、又はトップマネジメントから任命さ
れ、責任及び権限が委譲された者であることが多いことから、情報セキュリティ
マネジメントにおいて、トップマネジメント及びリスク所有者が、どのような
責任をもつかについて明確にする。
4.4.8.5組織は、リスク所有者から、情報セキュリティリスク対応計画について承認を得、
かつ、リスク所有者に、残留している情報セキュリティリスクを受け入れてもらう。
[27001-6.1.3f)]
すべてのリスクについて管理目的や管理策を選択した時点で、残留リスクについ
て明確にし、今後の対応計画を作成する。計画の作成においては以下の点について
考慮する。
・技術的に対応可能になる時期
・コスト的に対応可能になる時期
残留リスクについては、定期的に見直しを行い、必要に応じて、対応の対象とす
るとともに、リスク対応後の残留リスクについては、リスク所有者のほか、管理層
やその他の利害関係者に認識させることを考慮する。
また、リスク所有者の責任を明確にするために、承認された会議の議事録を正し
く保管する。
4.5情報セキュリティマネジメントの運用[27001-8]
4.5.1資源管理[27001-7.1/5.1]
4.5.1.1組織は、情報セキュリティマネジメントの確立、実施、維持及び継続的改善に必要
な資源を決定し、提供する。[27001-7.1]
管理目的を満たすためには、継続的に管理策を実施するとともに、人員の増加、
システムの増加などの環境の変化に対応するために、適切な時期に適切に提供でき
るよう、経営資源を確保する。
4.5.1.2トップマネジメントは、情報セキュリティマネジメントに必要な資源が利用可能で
あることを確実にするため、以下の資源を割り当てる。[27001-5.1c)
・情報セキュリティマネジメントの各プロセスに必要な人又は組織
・情報セキュリティマネジメントの各プロセスに必要な設備、装置、システム
・上記に必要な費用
4.5.2力量、認識[27001-7.2/7.3/5.1]
4.5.2.1トップマネジメントは、有効な情報セキュリティマネジメント及びその要求事項へ
の適合の重要性を伝達する。[27001-5.1d)]
トップマネジメントは情報セキュリティマネジメントについて責任を負うが、実
施においては組織全体の協力が必要であることを、情報セキュリティ方針と共に関
係者に伝える。
また、組織が同じ規定に従って同じ判断ができるように、情報分類等の基準を策
定するが、個人情報のように組織によって解釈が一部異なる情報の場合は、一般的
な考え方に加え、自社の考え方を明確にした上で、関係者に伝える。
読み込み中...
情報セキュリティリスク管理および資源管理に関するガイドライン - 第102頁
テキスト領域
選択中
非公開 (PII)
関連する新着公告を見逃さないために

Pro プランでは会社名・機関名・キーワードを監視条件として保存し、新着掲載を継続確認できます。14日間無料で試せます。

監視機能の詳細を見る →