危ないままか、手を打つか。
 最後に一つ。
さんざん言っておいて何を、と思うかもしれないが、 
リスクが見つかったからといって、必ずしも全てに手を打たなければならないことはない。
 その組織にとって、リスクをなくすために行う対策にかかる労力と、それによって得られる効果が釣り合わない場合は、そのリスクを受け入れる、という選択もできるからだ。
また、そのリスクを持つモノについて、自分たちで所有することをやめてしまう、ということも考えることができる。
止めてしまったあとは、どこかレンタル業者から借りてくることでそれを補ったり、もういっそのこと、そのものによるサービス自体を廃止する、という選択肢だってある。
どの選択肢を選ぶかは、そのサービスの重要性などによる。その「もの」によって提供しているサービスではさほど儲かってない(=利用者もほとんどいない)のに、管理大変、レンタル料も利益より高い、なんてことになったら、廃止という流れも充分にありうる。

ちゃんとちゃんと考えて、受け入れたリスクならば、なんにも考えないでほったらかしているリスクより数段安心といえないだろうか?
それは、そのリスクが実際に起こった時のことを、充分想定し、周りにいる人たちと認識を同じくしたという作業を終えているからだ。

 ISMSに関する、前段階はここまで。
最後まで読んだあなたはもう、ISMSの基本的な考えは頭に入っている。
基礎ができたら、今度は実務。
ちょっと難しいかも知れないし、逃げたくなることもあるだろうけど、大丈夫。
どんなに難解シゴクなことだって、理解できれば、こんなに楽しいことはないのだから。