説明
費用便益分析 (CBA) は、望ましい結果を達成するためのさまざまな代替案のコストと便益を比較する方法です。CBA は、意思決定のための合理的かつ客観的な根拠を提供することで、情報セキュリティ管理者がリスクを許容可能なレベルまで軽減するための最適な管理を選択できるように支援します。また、CBA は、情報セキュリティ管理者が、選択したコントロールの価値と投資収益率を実証することで、上級管理者、利害関係者、監査人に対して自らの選択を正当化できるよう支援します。CBA は、情報セキュリティ管理者が制御を実装および維持するためのリソースの優先順位付けと割り当てを支援することもできます12。
CBA には次の手順が含まれます12:
分析の目的と範囲を特定する
目的を達成するための代替案とオプションを特定する
各代替案のコストと利点を特定して定量化する
共通の指標または基準を使用して各代替案のコストと利点を比較する 純利益を最大化する、または純コストを最小化する代替案を選択する 感度分析を実行して結果の堅牢性と妥当性をテストする 結果と推奨事項を文書化して伝達する CBA は主に、情報セキュリティ管理者の決定によって決まりますが、ベスト プラクティス、管理フレームワーク、規制要件などの他の要素も考慮に入れることもできます。ただし、これらの要因は組織の特定のニーズや状況を常に反映しているとは限らないため、CBA の主な推進要因ではありません。
ベスト プラクティスは一般的なガイドラインまたは推奨事項であり、すべての状況や環境に適しているとは限りません。
制御フレームワークは標準化されたモデルまたは方法論であり、情報セキュリティのすべての側面や側面をカバーしているわけではありません。規制要件は、組織が直面するすべてのリスクや脅威に対処できるわけではない強制的な規則または義務です。したがって、CBA は、組織の目的、リソース、環境に関連して各コントロールのコストと利点を考慮するため、リスクを許容可能なレベルまで軽減するための最も適切かつ効果的なコントロールを選択するための最良の方法です12。参照 = CISM ドメイン 2:
情報リスク管理 (IRM) [2022 年最新版]、情報セキュリティ リスク対応計画を作成する際の 5 つの重要な考慮事項

セクション: 情報リスク管理
説明/参照:
Explanation:
リスク評価プロセスは継続的であり、確立されたプロセスに変更を加える場合は、新しいリスク評価を含める必要があります。SAS 70 レポートのレビューと脆弱性評価はリスク評価の一部である可能性がありますが、どちらもそれ自体では十分なデューデリジェンスとは言えません。

説明
開始フェーズでセキュリティ要件を導入すると、設計やコーディングを行う前にセキュリティ目標と管理を定義し、ビジネス ニーズやリスク選好に合わせて調整できるため、アプリケーション開発中にセキュリティを統合することが最も確実になります。これは、アプリケーションおよびアプリケーション開発活動のセキュリティを強化する最も効果的な方法である、設計によるセキュリティのアプローチも促進します1。セキュリティ要件を早期に導入することで、セキュリティ専門家と開発者のコ​​ラボレーション、セキュリティ アーキテクチャの特定と仕様、開発ライフ サイクル全体にわたるセキュリティ制御の統合とテストも可能になります2。開発プロセス (A) 中にグローバル セキュリティ標準を採用すると、セキュリティ実践の一貫性と品質を確保するのに役立ちますが、アプリケーション開発中にセキュリティが統合されることが必ずしも保証されるわけではありません。プログラマーに安全な開発手法に関するトレーニングを提供する (B) ことは、開発者の意識とスキルを向上させるのに役立ちますが、アプリケーション開発中にセキュリティが統合されることを保証するものではありません。受け入れテスト中にアプリケーション セキュリティ テストを実行すると、展開前にアプリケーションのセキュリティを検証するのに役立ちますが、アプリケーション開発中にセキュリティが統合されていることは保証されません。また、開発プロセスの早い段階で防止または軽減できたはずのセキュリティ問題を特定して修正するには遅すぎます。参考文献 = 1: アプリケーション セキュリティ プログラムの 5 つの主要コンポーネント - ISACA1; 2: CISM ドメイン - 情報セキュリティ プログラム開発 | 情報セキュリティ2

セクション: 情報リスク管理