説明
情報セキュリティガバナンスは、取締役会と経営幹部の責任です。この場合、適切な措置は、必要な保護策の実施計画が確実に実施され、その実施に関する更新が要求されるようにすることです。

ギャップ分析は、情報セキュリティ管理の望ましい状態と現在の実装との間の実際のギャップを特定するのに役立ちます。BIA は主に事業継続計画に使用されます。技術的脆弱性評価は、プロセスの後半で行われる技術的制御の詳細な評価に使用され、ギャップを特定するための完全な情報は提供されません。

セクション: インシデント管理と対応

説明
情報セキュリティは、解雇された従業員のシステム アクセスの削除を開始するときに最も重要な機能です。従業員のアクセス権がタイムリーかつ効果的な方法で取り消され、組織のデータとシステムのセキュリティが維持されるようにする責任があるからです。情報セキュリティは、アクセス削除プロセスを実行するために、人事、法務、ヘルプ デスクなどの他の機能と連携する必要がありますが、解雇された従業員のアクセス資格情報を無効化または削除する権限と機能を持つのは、主に情報セキュリティです。その他のオプションは、アクセス削除プロセスで異なる役割や責任を負っていたり、従業員のアクセス権を制御するシステムやツールに直接アクセスできない可能性があるため、情報セキュリティほど重要ではありません。参考資料 = CISM レビュー マニュアル 15 版、114 ページ:「情報セキュリティは、アクセス権がタイムリーかつ効果的な方法で取り消されるようにする責任があります。」 SOC 2 統制: 解雇または異動したユーザーのアクセス削除、抜粋: 「解雇または異動したユーザーに不要になったシステム アクセスは、1 営業日以内に削除されます。解雇された従業員については、主要な IT システムへのアクセスが適時に取り消されます。解雇チェックリストとチケットが完成し、従業員の解雇プロセスの一環として従業員のアクセスが取り消されます。」従業員解雇における IT の関与、チェックリスト、抜粋: 「すべてのネットワーク アクセスを無効にします。会社でアクティブなパスワードのマスター アクセス リストを使用している場合は、解雇されるユーザーに関連付けられたパスコードを拒否するようにシステムに指示します。システムに拒否機能がない場合は、ユーザーと関連付けられたパスワードを削除します。従業員のアクセスを監視します。」人事 (HR) は、情報セキュリティ、ヘルプ デスク、法務などの関係者に従業員の解雇ステータスと日付を通知する責任があるため、解雇された従業員のシステム アクセスの削除を開始するときに最も重要な機能です。また、人事部門は、従業員の退職手続きが完了して文書化されていること、および従業員が会社所有のデバイスや資産を返却していることを確認します。
人事部門は、従業員の上司やチームと連携して、仕事と責任のスムーズな移行を確実に行います。