セクション: 情報セキュリティプログラム管理

効果的なリスクマネジメントは、組織への残存リスクを最小限に抑えます。選択肢Aは誤りです。全体的なリスクが定量化されているという事実は、必ずしも効果的なリスクマネジメントが存在することを意味するわけではありません。選択肢Bは誤りです。固有のリスクを排除することは事実上不可能です。選択肢Dは誤りです。統制リスクを事業に結び付けることは説明責任を向上させる可能性がありますが、残存リスクを最小化することほど望ましい結果ではないからです。

情報セキュリティ戦略策定の最初のステップは、組織の情報セキュリティ態勢の現状に基づいてギャップ分析を実施することです。ギャップ分析とは、現状と望ましい状態を比較し、対処が必要なギャップや欠陥を特定する体系的なプロセスです。ギャップ分析は、情報セキュリティ戦略のベースラインを確立し、戦略目標の達成に必要な行動とリソースの優先順位付けに役立ちます。また、ギャップ分析は、情報セキュリティ戦略を組織の目標や戦略と整合させ、関連する標準や規制への準拠を確保するのにも役立ちます。参考文献 = CISMレビューマニュアル、第16版、ページ
331; CISMレビュー問題、解答、解説マニュアル、第10版、162ページ 情報セキュリティ戦略策定の第一歩は、すべてのデジタル資産、従業員、ベンダーを含む、リスクを認識した包括的な社内環境の棚卸しを実施することです。次に、脅威環境と、どのような種類の攻撃が自社にとって脅威となるかを把握する必要があります1。これは、現状に基づくギャップ分析を実施することに似ています3。

情報セキュリティプログラムは、理想的には、主要なビジネスプロセスオーナーに代表されるビジネスマネージャーが主導すべきです。インフラ管理部門は独立性が不十分であり、具体的なビジネス要件に関する必要な知識が不足しています。また、企業監査部門は、情報セキュリティプログラムがビジネスニーズをどのように満たすべきかを十分に理解できる立場にありません。監査の独立性と客観性が失われ、従来の監査機能が阻害されます。情報セキュリティ部門は、このプログラムの導入と実行を担当します。あらゆるレベルで推進すべきですが、運用に関する知識が不足し、適切な権限もないため、この取り組みを主導することはできません。