セクション: 情報セキュリティガバナンス

説明
情報資産の所有者は、ビジネス プロセスと機能的な IT 要件に関する深い知識を持っているため、ビジネス プロセス内で検討中の IT 資産によって付加される価値を評価するのに最適な立場にあります。IT セキュリティ マネージャーは、IT リスク評価方法論と IT 資産評価メカニズムの専門家です。ただし、マネージャーは企業のすべてのビジネス プロセスを深く理解しているわけではありません。IT セキュリティの専門家は、脅威と脆弱性を特定するプロセスに参加し、ビジネス情報資産の所有者と協力して資産のリスク プロファイルを定義します。最高財務責任者 (CFO) は、全体的なコストの全体像を把握していますが、各 IT 資産の価値を評価するには詳細が足りません。

説明/参照:
Explanation:
セキュリティ プログラムの成功は、組織の目標と目的との整合性にかかっています。
コミュニケーションは二次的なステップです。ユーザーへの効果的なコミュニケーションと教育は成功の決定要因ですが、組織の目標と目的との整合が成功の最も重要な要素です。ユーザーへの効果的なコミュニケーションなしにポリシーを策定するだけでは、成功は保証されません。
情報セキュリティ ポリシーと手順の遵守を監視することは、せいぜい、情報のないユーザーの間では成功につながらない検出メカニズムになる可能性があります。

インシデント後のレビューでは、インシデント対応の取り組みの有効性を評価することを最優先にする必要があります。これには、インシデントへの対応の正確さ、対応の適時性、対応の効率性の評価が含まれます。改善すべき領域を特定し、将来の対応をより効果的にするために、対応の有効性を評価することが重要です。実行したアクションを十分に詳細に文書化し、主要リスク指標 (KRI) を更新し、インシデント対応チーム メンバーのパフォーマンスを評価することはすべて、インシデント後のレビューの重要な要素ですが、インシデント対応の有効性の評価を最優先にする必要があります。

ロールベースのアクセス制御は、実行する職務に基づいて臨時従業員のアクセスを許可します。これにより、アクセスが要求されるものより多くも少なくもならないようにするためのよりよい手段が提供されます。任意、強制、およびラティスベースのアクセス制御はすべてセキュリティ モデルですが、ロールベースのアクセス制御と同様に臨時従業員の問題には対処していません。