セクション: 情報セキュリティプログラム管理
説明

= 新興技術に関連するセキュリティリスクを軽減する際に最も重点的に取り組むべき領域は、未知の脆弱性です。新興技術は新しく複雑であり、多くの場合、複数の関係者、相互依存性、不確実性を伴うため、予測、検出、防止が困難な脅威に組織をさらす可能性のある未知の脆弱性が存在する可能性があります1。未知の脆弱性は、新興技術の実装、運用、またはセキュリティ確保に関する経験、知識、またはベストプラクティスの不足によっても発生する可能性があります2。未知の脆弱性は、データ漏洩、システム障害、風評被害、法的責任、規制上の制裁など、深刻な結果につながる可能性があります3。したがって、新興技術に関連するセキュリティリスクを軽減する際には、未知の脆弱性の特定、評価、および対処に重点を置くことが重要です。
その他の選択肢は、より予測可能、管理可能、または具体的であるため、未知の脆弱性ほど重要ではありません。レガシー システムとの互換性は、新興技術のパフォーマンス、機能、信頼性に影響を及ぼす可能性のある技術的な問題ですが、それ自体がセキュリティ リスクではありません。これは、レガシー システムのテスト、アップグレード、または置き換えによって解決できます4。企業の強化標準の適用は、攻撃対象領域を減らし、新興技術の回復力を向上させるセキュリティ対策ですが、十分または包括的なソリューションではありません。標準の可用性、適用性、または有効性によって制限される可能性があります。既存のアクセス制御との統合は、新興技術への不正または不適切なアクセスを防ぐことができるセキュリティ要件ですが、セキュリティを保証するものではありません。アクセス シナリオの複雑さ、多様性、またはダイナミズムによって課題が生じる可能性があります。参照 = 1: 新興技術のリスク評価の実施 - ISACA 2: 新興技術のリスク評価 - ISACA 3: 新興技術に対する一般のリスク認識に影響を与える要因: ... 4: CISM レビューマニュアル 15 版、第 3 章、セクション 3.3 : CISM レビューマニュアル 15 版、第 3 章、セクション 3.4 : CISM レビューマニュアル 15 版、第 3 章、セクション 3.5

説明/参照:
Explanation:
情報セキュリティチームに事後レビューを実施させる際には、常に利益相反を回避することが望ましい。第三者チームの専門知識向上のための支援を得ることはメリットの一つではあるが、それが主な目的ではない。事後レビューを実施する主な目的は、情報セキュリティ管理プロセスの更なる改善に向けた教訓を特定することである。
情報セキュリティ プログラムに対するよりよい賛同を得ることは、サードパーティ チームを関与させる正当な理由にはなりません。