ギャップ分析は、セキュリティ ポリシー フレームワークが新しいビジネス モデルを網羅していることを確認するための最初のステップです。これは、セキュリティ ポリシーとコントロールの現在の状態を、望ましい状態または必要な状態と比較するプロセスだからです。ギャップ分析は、既存のセキュリティ ポリシー フレームワークの長所と短所、および新しいビジネス モデルによってもたらされる機会と脅威を特定するのに役立ちます。ギャップ分析は、ギャップを埋め、セキュリティ ポリシー フレームワークを新しいビジネス目標と要件に合わせるために必要なアクションとリソースの優先順位付けにも役立ちます。したがって、ギャップ分析を実行することが正解です。
参照：
https://secureframe.com/blog/security-frameworks
https://www.techtarget.com/searchsecurity/tip/IT-security-frameworks-and-standards-Choosing-the-right-one

アクセス権のリスク評価を行うことは、2 つの企業の統合中に競合するアクセス権の懸念に対処する最善の方法です。リスク評価は、両社のアクセス権に影響を与える脅威と脆弱性、および情報漏洩の潜在的な影響と可能性を特定して優先順位を付けるのに役立ちます。リスク評価は、リスクを軽減するための制御を選択して評価するための基礎も提供します。NIST によると、リスク評価はリスク管理の不可欠な要素であり、セキュリティ制御を実装する前に実行する必要があります1。その他のオプションは、2 つの企業の統合中に競合するアクセス権の懸念に対処する最善の方法ではなく、リスク評価に基づいてその後に実行できる可能性のあるアクションです。買収統合の実行時にアクセス権を確認することは、情報漏洩を防ぐには遅すぎるか、遅すぎる可能性があります。リスク評価からの証拠や推奨事項がなければ、競合するアクセス権の懸念を経営陣にエスカレーションしても効果がない可能性があります。一貫したアクセス制御標準を実装することは、異なるシステムまたはビジネス ユニットに対して実行可能または望ましくない場合があります。参照: 1: NIST SP 800-30 Rev. 1 リスク評価の実施ガイド 2: M&A 統合戦略は取引の成功に不可欠だが、依然として困難: PwC 3: M&A 統合を成功させる 10 のステップ | Bain & Company: 合併後の統合を成功させる秘訣

セクション: インシデント管理と対応
説明/参照:

セクション: インシデント管理と対応
説明