セクション: 情報セキュリティガバナンス

説明
脅威と脆弱性の評価は、主に、制御目標を設定するための基礎となるため重要です。制御目標は、セキュリティ制御を実装することで得られる望ましい結果であり、組織のリスク許容度とビジネス目標と整合している必要があります。脅威と脆弱性の評価は、セキュリティ インシデントの潜在的な発生源と影響を特定し、リスクの発生可能性と重大度に基づいて緩和措置の優先順位を付けるのに役立ちます。脅威と脆弱性の評価を実施することで、組織は適切なレベルと種類のセキュリティ制御を確立し、情報資産を保護して残存リスクを許容レベルまで低減することができます。参考文献 = CISM レビュー マニュアル (デジタル版)、第 3 章: 情報セキュリティ リスク管理、セクション 3.1: リスクの特定、p. 115-1161。CISM レビュー マニュアル (印刷版)、第 3 章: 情報セキュリティ リスク管理、セクション 3.1: リスクの特定、p. 115-1162。CISM アイテム開発ガイド、ドメイン 3: 情報セキュリティ プログラムの開発と管理、タスク ステートメント 3.1、p. 193.
脅威と脆弱性の評価は、主に、制御目標を設定するための基礎となるため重要です。制御目標は、情報システムにセキュリティ制御を実装することで得られる望ましい結果または目標です。制御目標は、システムの機密性、整合性、可用性に影響を与える可能性のある脅威と脆弱性を特定して評価するリスク評価プロセスから導き出されます。脅威と脆弱性の評価を実施することで、組織は直面するリスクのレベルを判断し、それらのリスクを軽減するための適切な制御目標を確立できます。

説明
ロールベースのアクセス制御では、ユーザーをジョブ関連のカテゴリにグループ化できるため、必要な管理オーバーヘッドが大幅に増加します。任意アクセス制御では、管理オーバーヘッドが大きくなります。分散アクセス制御では、通常、管理に多くのスタッフが必要になりますが、集中アクセス制御では不十分な解決策となります。