セクション: 情報セキュリティプログラム管理

情報セキュリティマネージャーは、まず上級管理職と問題について話し合い、問題をエスカレーションし、支援と指導を求める必要があります。変更管理プロセスを省略すると、不正アクセス、データ損失、システムの不安定化、コンプライアンス違反など、組織に重大なリスクをもたらす可能性があります。
情報セキュリティマネージャーは、インシデントの潜在的な影響と結果を説明し、状況を改善するための是正措置を推奨する必要があります。また、情報セキュリティマネージャーは、インシデントの根本原因を検証し、既存のポリシー、手順、または管理体制に欠陥や弱点がないかを特定する必要があります。これらの欠陥や弱点は、適切な承認、テスト、または文書化なしに事業部門が新しいアプリケーションを導入することを許していた原因です。その後、情報セキュリティマネージャーは、調達プロセスの見直し、変更管理プロセスの更新、その他の対策を実施し、同様のインシデントが将来発生しないようにする必要があります。ビジネスニーズや関連するリスクの重大性によっては、アプリケーションを本番環境から削除することが現実的ではない、あるいは望ましくない場合もあります。参考資料：CISMレビューマニュアル
第16版、100～1011ページ；CISM復習問題、解答と解説マニュアル、第10版、ページ
2692
もっと詳しく知る：
1. isaca.org2. amazon.com3. gov.uk

説明
リスクオーナーとは、リスクの受容、回避、移転、軽減など、リスクに関する意思決定を行う権限と責任を有する者です。また、リスク対応計画の実施と監視、およびリスク状況の報告にも責任を負います。リスクオーナーは通常、ビジネスプロセスオーナー、またはリスクの影響を受ける資産の情報オーナーです。（CISMレビューマニュアル第15版より）参考文献：CISMレビューマニュアル第15版、64ページ、セクション2.2.1.2。

機器およびソフトウェア ベンダーの担当者の連絡先情報を含む必要があるドキュメントは、ビジネス継続計画 (BCP) です。これは、中断や災害が発生した場合に組織の重要なビジネス機能と業務を回復するためのガイダンスと手順を提供し、支援やサポートのためにベンダーなどの外部関係者に連絡する必要がある可能性があるためです。情報セキュリティ プログラム憲章は、ビジネス継続性や災害復旧に関するガイダンスや手順を提供していないため、この目的には適したドキュメントではありません。ビジネス影響分析 (BIA) も、ビジネス継続性や災害復旧に関するガイダンスや手順を提供していないため、この目的には適したドキュメントではありません。サービス レベル契約 (SLA) も、ビジネス継続性や災害復旧に関するガイダンスや手順を提供していないため、この目的には適したドキュメントではありません。参考：https://www.isaca.org/resources/isaca-journal/issues/2017/volume-2/business-continuity-management-lifecycle https://www.isaca.org/resources/isaca-journal/issues/2016/volume-4/business-impact-analysis