説明
情報システム監査人が組織のデータ損失防止 (DLP) コントロールの運用上の有効性を評価する最も信頼性の高い方法は、機密ファイルが個人の USB デバイスに送信されないことを確認することです。これは、DLP コントロールが、侵害、漏洩、不正使用による機密データの損失、漏洩、または悪用を防止するように設計されているためです1。個人の USB デバイスは、ネットワーク セキュリティ対策を回避して機密ファイルへの不正アクセスを可能にするため、データが盗まれたり危険にさらされたりする一般的な方法です。したがって、機密ファイルを個人の USB デバイスにコピーまたは転送して DLP コントロールをテストすると、DLP コントロールが意図したとおりに機能しているかどうかの直接的かつ客観的な証拠が得られます。
その他のオプションは、情報システム監査人が組織の DLP コントロールの運用上の有効性を評価するための信頼性の低い方法です。業界のベスト プラクティスに基づいてデータ分類レベルを確認することは、組織のデータ保護ポリシーの妥当性を評価する方法ですが、DLP コントロールが実際にどの程度実装または適用されているかを測定するものではありません。すべてのコンピューター システムに現在の DLP ソフトウェアがインストールされていることを確認することは、DLP ソリューションの技術的な構成を確認する方法ですが、実際のシナリオで DLP ソフトウェアがデータ損失インシデントをどの程度検出して防止するかをテストするものではありません。インタビューを実施してデータ保護の潜在的な脆弱性を特定することは、関係者から定性的な情報を収集する方法ですが、DLP コントロールの実際のパフォーマンスに関する定量的または経験的なデータは提供されません。
参考文献:
データ損失防止 (DLP) とは? [ガイド] - CrowdStrike

セクション: 情報資産の保護

セクション: 情報システムの監査プロセス

セクション: 情報システムの運用、保守、サポート