1．適切な情報セキュリティリスク対応の選択肢の選定

リスク対応の選択肢は以下の通りです。

リスク回避

リスクが発生する可能性のある環境を排除するなど、リスクそのものをなくそうとすることです。たとえば、個人情報を受け取らないようにしたり、その業務自体をやめたりするといった方法です。

リスク低減

セキュリティ対策（管理策）を採用することによって、リスクの発生確率を低くしたり、リスクが顕在化したときの影響の大きさを小さくすることです。「軽減」「修正」と呼ばれることもあります。

リスク移転

リスクを他者に移して、自分たちの責任範囲外にしたり、リスクが顕在化したときの損失を他者に引き受けさせることです。たとえばクラウドのサーバを利用することによって、サーバが破壊されたり盗難されたりするリスクを移転することができます。「共有」と呼ばれることもあります。

リスク受容（保有）

対策を行わずにリスクを受け入れるということです。被害は大きいが発生可能性がほとんどない場合や、発生しても被害がほぼない場合が該当します。

2．情報セキュリティリスク対応の選択肢の実施に必要なすべての管理策の決定

ISO/IEC 27001:2022の附属書A、ISO/IEC 27017などの管理策集から、リスクの回避、低減、移転、受容（保有）の中から選択したリスク対応に必要なすべての管理策を決定します。

3．決定した管理策とISO/IEC 27001:2022附属書A の管理策との比較

必要なすべての管理策を、ISO/IEC 27001:2022附属書Aに挙げられている管理策と比較します。

4．適用宣言書の作成

必要なすべての管理策と、その理由及び実施状況を文書化します。適用宣言書に含まれるすべての管理策の実施状況は、“実施された”、“一部実施された”または“実施されていない”として記述できます。

5．情報セキュリティリスク対応計画

組織がリスクに対応する必要性を含んだリスク対応計画を作成します。リスク対応計画とは、組織のリスク受容基準を満たすようにリスクを修正するための計画のことです。

• 組織の必要な管理策を実施するためのプロジェクト計画
• リスクを修正するために管理策が環境と相互にどのように作用するかを記述した設計計画

6．リスク所有者による承認

リスク所有者は、リスク対応計画を承認します。

7．残留している情報セキュリティリスクの受容

リスク所有者は、残留リスクが受容可能かどうかを判断し、決定します。