セクション: インシデント管理と対応

説明
情報セキュリティ戦略とビジネス目標の整合性を示す最も効果的な方法は、バランスト スコアカードを使用することです。バランスト スコアカードは、組織のビジョンとミッションを、目標に向けた進捗状況を測定するパフォーマンス指標のセットに変換する戦略的管理ツールです。バランスト スコアカードには通常、財務、顧客、内部プロセス、学習と成長の 4 つの観点が含まれます。各観点には、組織の戦略と整合する一連の目標、尺度、ターゲット、およびイニシアチブがあります。バランスト スコアカードは、ビジネス目標に関連して組織とその情報セキュリティ プログラムのパフォーマンスを伝え、監視し、評価するのに役立ちます。バランスト スコアカードは、改善の機会を特定して優先順位を付けるだけでなく、組織の活動とリソースを戦略と整合させるのにも役立ちます12。
その他のオプションは、情報セキュリティ戦略とビジネス目標の整合を示す最も効果的な方法ではありません。リスク マトリックスは、さまざまなリスクの発生可能性と影響を 2 次元グリッド上に表示するツールです。リスク マトリックスは、リスクを評価して優先順位を付けるだけでなく、適切なリスク対応戦略​​を決定するのに役立ちます。ただし、リスク マトリックスでは、情報セキュリティ戦略がビジネス目標をどのようにサポートしているかは示されず、情報セキュリティ プログラムのパフォーマンスや価値も測定されません3。ベンチマーキングは、組織のパフォーマンス、プラクティス、またはプロセスを他の組織や業界標準と比較するプロセスです。ベンチマーキングは、ベスト プラクティス、ギャップ、改善領域を特定し、現実的で達成可能な目標を設定するのに役立ちます。ただし、ベンチマーキングでは、情報セキュリティ戦略がビジネス目標とどのように整合しているかは示されず、組織固有の特性やニーズも反映されません4。ヒート マップは、変数の強度または頻度を色で示す、データのグラフィカル表現です。ヒート マップは、ビジネス ユニット、プロセス、資産など、さまざまな次元にわたるリスク、コントロール、インシデントの分布、集中、または変動を視覚化するために使用できます。ヒート マップは、リスクが高い領域やコントロールの有効性が低い領域を強調表示し、意思決定とリソースの割り当てを容易にするのに役立ちます。ただし、ヒート マップでは、情報セキュリティ戦略がビジネス目標にどのように貢献しているかは示されず、情報セキュリティ プログラムの結果や利点も測定されません5。参考文献 = CISM レビュー マニュアル、第 16 版 | 印刷 | 英語 2、第 1 章: 情報セキュリティ ガバナンス、28 ～ 29、31 ～ 32、34 ～ 35 ページ。
バランスト・スコアカード - Wikipedia 1
リスクマトリックス - Wikipedia 3
ベンチマーク - Wikipedia 4
ヒートマップ - Wikipedia 5