ある企業のCISOが、コンプライアンス担当部門から「規制当局の監査に備えてGRCプログラムを強化してほしい」という要請を受けた。GRCにおける「リスク管理(Risk Management)」の活動として最も正確に説明しているものはどれか。
- A. 法令・規制・業界標準(ISO 27001、NIST等)への適合状況を確認し、違反を検出する
- B. 従業員のセキュリティ意識向上トレーニングを計画・実施する
- C. 組織の目標達成を妨げる可能性のある脅威を特定・評価・優先順位付けし、許容可能な水準に低減する対策を講じる
- D. 組織全体のIT投資判断と意思決定の枠組みを整備し、取締役会への報告体制を確立する
解答と解説を見る
正解: C
GRCのリスク管理(Risk Management)は、組織の目標達成を脅かす可能性のあるリスク(脅威・脆弱性・影響)を体系的に特定(Identify)・評価(Assess)・対応(Respond)・監視(Monitor)するプロセスである。リスクを許容可能な水準まで低減・転嫁・回避・受容する判断を含む。選択肢DはGRCの「ガバナンス(Governance)」の説明であり、意思決定構造と説明責任の確立に関わる。選択肢AはGRCの「コンプライアンス(Compliance)」の説明であり、外部の規制や標準への適合確認に関わる。選択肢Bのセキュリティ意識向上トレーニングはリスク低減の「対策」の一つではあるが、リスク管理プロセス全体の説明としては不完全であり、設問の「リスク管理の活動として最も正確に説明」という要件を満たさない。