災害復旧計画（DRP）には、災害発生後にデータを復旧できる最も早い時点を示す目標復旧時点（RPO）が必須です。RPOは、業務中断時に許容されるデータ損失量を効果的に定量化します。RPOは、業務中断時に許容されるデータ損失に基づいて決定されます1。DRPは、組織の通常業務に影響を与える災害が発生した場合に、重要なITシステムとデータを復旧するための手順、リソース、およびアクションを定義する文書です2。DRPには、各重要なシステムとデータのRPO、およびRPOを達成するためのバックアップと復旧の方法、頻度、場所を含める必要があります3。
情報セキュリティ計画、インシデント対応計画、事業継続計画 (BCP) では、目的と適用範囲が異なるため、RPO は必要ありません。情報セキュリティ計画は、組織における情報セキュリティ管理の目的、ポリシー、標準、ガイドラインを定義する文書です4。インシデント対応計画は、情報資産の機密性、整合性、または可用性を損なう可能性のあるセキュリティ インシデントを識別、分析、対応、およびそこから学ぶための手順、役割、および責任を定義する文書です。BCP は、組織の通常業務に影響を与える中断が発生した場合に、重要なビジネス機能とプロセスの継続を確保するための手順、リソース、およびアクションを定義する文書です。これらの計画には、災害発生後に業務が再開されるまでの時間、またはリソースが再び使用可能になるまでの時間である目標復旧時間 (RTO) などの他の指標が含まれる場合がありますが、RPO は必要ありません。
参考文献
1: IS災害復旧目標 - RunModule
2: 情報システムの緊急時対応計画ガイダンス - ISACA
3: CISM認定情報セキュリティマネージャー - 質問1411
4: CISM レビューマニュアル、第 16 版、ISACA、2021 年、23 ページ。
5: CISM レビューマニュアル、第 16 版、ISACA、2021 年、223 ページ。
6: CISM レビューマニュアル、第 16 版、ISACA、2021 年、199 ページ。
7: RTOとRPOの違いは何ですか？ - Advisera

セクション: 情報リスク管理

セクション: インシデント管理と対応
Explanation:
影響を受けたネットワークセグメントを分離することで、差し迫った脅威を軽減しながら、影響を受けていない業務部分は処理を継続できます。すべてのネットワークアクセスポイントを遮断すると、サービス拒否攻撃が発生し、収益の損失につながる可能性があります。イベントログをダンプし、トレースログを有効にすることは有用かもしれませんが、ネットワーク攻撃による差し迫った脅威を軽減することはできません。

セクション: 情報リスク管理
Explanation:
セキュリティ インシデント対応計画は、欠陥を見つけ、既存のプロセスを改善するためにテストする必要があります。
侵入検知システム (IDS) をテストすることは良い方法ですが、この状況を防ぐことはできませんでした。
セキュリティインシデント対応に必要なプロセス、ツール、方法論を理解するために、すべての担当者は正式な研修を受ける必要があります。しかし、プロセスが意図したとおりに機能していることを確認するには、実際の計画をテストする方が効果的です。対応手順を見直すだけでは不十分であり、セキュリティ対応計画は定期的にテストする必要があります。