セクション: 情報セキュリティプログラム開発

説明
ロールベースのアクセス制御は、ビジネスニーズに応じてアクセスを提供するため、不要なアクセス権を減らし、説明責任を強化します。監査証跡の監視は、事後的な検出制御です。プライバシー ポリシーはこのリスクとは関係ありません。多層防御は、主に外部の脅威に焦点を当てています。

説明
セキュリティのあらゆる側面の日常的な管理は委任されますが、上級管理職が全体的な責任を保持する必要があります。情報セキュリティ担当者は上級管理職の情報セキュリティをサポートし、実装します。データ所有者はデータ セキュリティ要件を分類する責任があります。データ管理者は指示に従って情報セキュリティをサポートし、実装します。

説明
ビジネス影響分析 (BIA) は、中断後にビジネス機能またはプロセスを復元するための最大許容時間枠である復旧時間目標 (RTO) の出力を提供するプロセスです。ビジネス継続計画 (BCP) は、中断が発生した場合に重要なビジネス機能またはプロセスの継続性を確保するための戦略と手順を説明するドキュメントです。災害復旧計画 (DRP) は、中断が発生した場合に IT システムとデータを復元するための技術的な手順とリソースを説明するドキュメントです。サービス レベル契約 (SLA) は、可用性、パフォーマンス、セキュリティなど、サービス プロバイダーとサービス コンシューマー間の期待と義務を定義するドキュメントです。参考資料:
https://www.isaca.org/resources/isaca-journal/issues/2018/volume-1/business-impact-analysis-bia-and-disaster-re
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-6/service-level-agreements-in-the-cloud

セクション: 情報セキュリティプログラム開発
Explanation:
元のインストール メディアからシステムを再構築することが、すべてのセキュリティ脆弱性と潜在的なステルス悪意のあるプログラムが破壊されたことを確認する唯一の方法です。システムのルート パスワードを変更しても、メール サーバーの整合性は保証されません。多要素認証の実装は後付けの措置であり、既存のセキュリティ脅威を解消するものではありません。メール サーバーをネットワークから切断することは最初のステップですが、セキュリティを保証するものではありません。