リスクマネジメントが終わったら今度は、受容せず残ってしまったリスクに対して、何らかの手を打たなければならない。
それがリスクの管理運営のためにたてる、リスク対応計画だ。

リスクの管理運営、と言われてピンとこない人もいるかもしれないが、要するに危なくならないように気をつける全ての行動のことなのだ。
　規格書には「管理運営」するための、「経営陣の適切な行動」「経営資源」「責任体制」「優先順位」をこの計画で「特定」しなければならないと書かれている。


　JIPDECのFAQによると、この「経営者の適切な行動」とは、リスク対応計画の策定を「確実にするための活動などが考えられ」るらしい。
挙げられる、じゃなくて、考えられる、ということは、「そう思うんだけど、でもそうじゃないかもしれませんね」ということじゃないのかな、っていうか、「活動です」じゃ、何がまずいんだろう？…と思考の迷宮に入ることはやめておいて、黙って読んでみると、「経営資源や責任体制、優順位を特定するための検討会や、委員会」がこれにあたるとある。

(余談：じつはその続きに、「委員会等のフレームワーク策定などがこれにあたります。」ってかいてあるんだけど、委員会自体の枠組みを決めるのか、それとも委員会がリスク対応計画のフレームワークだよと言いたいのか、
タダの事務員の気持ちまではわかんないんだな…とか言う愚痴は置いといて、）

つまりはリスクの管理運営をするためのいろいろを決めるのに経営陣はやることあるよね、ということらしい。
「経営陣」が会社でどこまでの役職を指すのかは、私にはわからないけれど、センターではリスク対応計画のフォーマットをみんなで考えて、
　リスクの残っている業務の担当者が、このリスク対応計画をたて、定期的に行っている会議にかけるかたちだった。



ここで、疑問。
「経営資源」って、「情報資産」とどう違うんだろう？
つまり、守るべきモノ達の中に、経営資源というモノは入ってないんだろうか？なんでここでわざわざ新しく言葉を使って出てくるんだろう？

よくよく検索してみたら、リスク対応計画を実行するために必要になってくる（かもしれない）新たなるモノ達のことらしい。
そりゃ、リスク対応計画のことを語っている場面で出てきた言葉だから、確かにそうですよね？？
そして、その新たなるモノも、適用範囲内の情報資産に連なるものとして、その仲間入りを果たすのだった。

リスク対応計画を立てたら、今度は「管理目的を達成するために」計画を実行に移すらしい。この管理目的は、付属書Aに出てきた管理目的のこと。
そしてここでやっとその管理目的を満たすために管理策を行うことになる。