セクション: インシデント管理と対応
Explanation:
取締役会および経営幹部は、情報セキュリティガバナンス成熟度モデルを用いて、組織内のセキュリティのランク付けを行うことができます。ランク付けは、非存在、初期、反復可能、定義済み、管理済み、最適化の4段階に分けられます。組織におけるITセキュリティの責任が明確に割り当てられ、実施され、ITセキュリティリスクと影響分析が一貫して実施されている場合、その組織は「セキュリティが確立されている」と言えます。
「管理され、測定可能である。」

CISMレビューマニュアルによると、リスク軽減策の成果を報告する際に上級管理職に提示すべき最も重要な指標は、コストとそれに伴うリスク削減です。これは、リスクの発生可能性と影響の低減という観点から、その取り組みの価値と有効性を示す指標だからです。他の指標は比較や分析には役立つかもしれませんが、取り組みの成果を直接測定するものではありません。
参考資料 = CISM レビューマニュアル、第 27 版、第 4 章、セクション 4.3.2、2091 ページ。

説明
変更管理プロセスとは、開発変更によって影響を受ける可能性のあるあらゆる事項を再評価するための方法論です。問題管理とは、セキュリティに特有の問題ではなく、あらゆる問題を管理するための一般的なプロセスです。バックグラウンドスクリーニングとは、採用時に従業員の経歴を評価するプロセスです。BIAとは、事業継続プロセスにおけるリスクを評価するために使用される方法論です。

説明
インシデント対応計画における根絶フェーズでは、インシデントの根本原因を特定し、排除します。このフェーズでは、影響を受けたシステムから悪意のある活動の痕跡をすべて特定・除去し、安全な状態に復旧します。
参考文献 = NIST SP 800-61 改訂2版、CISMレビューマニュアル第15版

大規模な多国籍企業の情報セキュリティ管理者がクラウドサービスプロバイダーにデータ処理をアウトソーシングする際に最も懸念するのは、データとクラウドサービスプロバイダーに適用される可能性のある現地の法律や規制です。現地の法律や規制は管轄区域によって大きく異なる場合があり、データ保護、プライバシー、セキュリティ、主権、保持、開示、移転、アクセスに関して異なる要件や制限を課すことがあります。これらの法律や規制は、組織の独自のポリシー、標準、または契約上の義務との間に潜在的な矛盾や不整合を生じさせる可能性もあります。
したがって、情報セキュリティ マネージャーは、データ処理をクラウド サービス プロバイダーにアウトソーシングする前に、徹底的な法的および規制上の分析を実施し、クラウド サービス プロバイダーが関連する管轄区域のすべての適用法および規制に準拠していることを確認する必要があります。
参考文献 = CISMマニュアル1、第3章：情報セキュリティプログラム開発（ISPD）、セクション3.1：
アウトソーシング2
1: https://store.isaca.org/s/store#/store/browse/cat/a2D4w00000Ac6NNEAZ/tiles 2: 1 データ処理をクラウドサービスプロバイダーにアウトソーシングすると、データの所在地とベンダーに応じて、組織は異なる法的および規制上の要件に直面する可能性があります。これは、違反や紛争が発生した場合の組織のコンプライアンスと責任に影響を与える可能性があります。したがって、情報セキュリティマネージャーは、アウトソーシング契約に適用される現地の法律および規制に最も注意を払う必要があります。