説明/参照:
Explanation:
開発段階で、レビュー日にセキュリティ ポリシーをレビューすることが決定されます。保守フェーズの目的は、指定されたレビュー日にドキュメントをレビューすることです。このレビュー中に、文書の継続的な存続可能性が決定されます。書類が不要になった場合は、撤回またはキャンセルされます。実行可能性が判断され、変更が必要な場合、チームはフェーズ 2 の開発サイクルに飛び込み、サイクルが再び始まります。
不正解:
B: 組織内での公開は、保守フェーズではなく、公開フェーズで実行されます。
C: ポリシーの目的を述べた経営陣への提案書の作成は、開始と評価のフェーズで実行されます。
D: 承認機関への文書の提出は承認フェーズで実行されます。
参考文献:
情報セキュリティ管理ハンドブック、第 4 版、第 3 巻、ハロルド F. ティプトン。ページ: 380-382。

コントロールは脆弱性への対策です。がある
たくさんの種類がありますが、大きく分けて以下の4種類に分類されます。
抑止制御は、意図的な攻撃の可能性を減らします。
予防的制御は脆弱性を保護し、攻撃を行います
失敗するか、その影響が軽減されます。予防的管理による抑制
セキュリティポリシーに違反しようとします。
是正制御は攻撃の影響を軽減します。
検出制御により攻撃を発見し、予防的または効果的な攻撃をトリガーします。
是正管理。探偵コントロールは違反を警告します。
セキュリティポリシー違反の試みおよびそのような制御を含む
監査証跡、侵入検出方法、チェックサムなど。
出典: リスク分析入門、「是正措置は攻撃の影響を軽減する」&
「検出制御は攻撃を発見し、予防的または
是正管理」セキュリティリスク分析
グループおよび NIST 特別出版物 800-30、リスク管理ガイド
情報技術システム。

「ツーマンコントロールの概念では、2 人のオペレータが互いの作業を確認し、承認します。ツーマンコントロールの目的は、説明責任を果たし、非常に機密性の高い取引または高リスクの取引における不正行為を最小限に抑えることです。デュアルコントロールのコンセプト機密性の高いタスクを完了するには両方のオペレーターが必要であることを意味します。」ページ。303 クルツ: CISSP 準備ガイド: ゴールド エディション。

トレッドウェイ委員会後援組織委員会 (COSO)2 は、不正財務報告につながる要因を研究し、公開会社、その監査人、証券取引委員会に対する勧告を作成した国家不正財務報告委員会を後援するために 1985 年に設立されました。 、およびその他の規制当局。COSO は、財務報告と開示の目的を達成するために必要な内部統制の 5 つの分野を特定しています。
これらには次のものが含まれます。
(1)
制御環境、
(2)
リスクアセスメント、
(3)
コントロール活動、
(4)
情報とコミュニケーション、そして
(5)
監視。
COSO 内部統制モデルは、サーベンス オクスリー法第 404 条の遵守に取り組む一部の組織によってフレームワークとして採用されています。
COSO は戦略レベルに重点を置いているのに対し、CobiT は運用レベルに重点を置いています。CobiT は COSO の多くの目標を達成する方法ですが、それは IT の観点からのみです。COSO は、企業文化、財務会計原則、取締役会など、IT 以外の項目も扱います。
取締役の責任と内部コミュニケーション構造。
その主な目的は、不正な財務報告が組織内で行われないようにすることです。
組織。
コビット
情報および関連技術の制御目標 (COBIT)4 は IT 部門によって発行されています。
Governance Institute は、次の IT およびリスク フレームワークを統合します。
コビット4.1
ヴァルIT2.0
リスクIT
IT 保証フレームワーク (ITAF)
情報セキュリティのビジネスモデル (BMIS)
COBIT フレームワークは、有効性、効率、機密性、完全性、可用性、
高レベルの管理目標のコンプライアンスおよび信頼性の側面。フレームワークが提供するのは、
情報技術制御の全体的な構造と、次のような制御目標が含まれています。
ビジネス ニーズに基づいた効果的なセキュリティ管理目標を決定するために利用されます。
Information Systems Audit and Control Association (ISACA) は、多くのリソースを次の分野に投入しています。
COBIT へのサポートと理解。
次の答えは正しくありません。
COSO の主な目的は、金融会社内で健全なリスク管理アプローチを定義することです。
COSO は企業文化とポリシーの策定に取り組みます。
COSO は、連邦システムを保護するために使用されるリスク管理システムです。
この質問を作成するために次の参考資料が使用されました。
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
((ISC)2 Press) (Kindle の場所 9791-9800)。アウアーバッハ出版物。キンドル版。

CA は、秘密キー暗号化ではなく、公開キー暗号化で使用されます。
CA は、公開キーが実際に特定のキーに属していることを証明します。
個人およびそれに関連する情報
個人のキーは有効で正しいものです。CA は、個人の公開キーと関連情報にデジタル署名することでこの認証を実現します。証明書は、次のことを他人に告白します。
公開キー暗号化を使用してこの個人にメッセージを送信したいと考えています
公開鍵が実際に意図された個人に属していることを確認します。
国際電話・電信協議委員会
国際電気通信連合 (CCITT-ITU)/
国際標準化機構 (ISO) X.509 認証フレームワークは、公開キー証明書の形式を定義します。この構造の概要を図に示します。

画像012
「ユーザーのペアごとに個別のキーを持つ m ユーザーのネットワーク グループには m (m-1)/2 キーが必要です」という答えは、秘密キー暗号化における重要な問題です。したがって、それは正しい答えではありません。m 人のユーザーからなるネットワークの中で、各ユーザーがネットワーク上の他のすべてのユーザーと安全に通信したい場合、潜在的なユーザーのペアごとに秘密鍵が必要になります。
この概念は、図に示すように 5 人のユーザーで説明できます。

画像014
したがって、ユーザーが 5 人の場合、独立したキーの数は (5 x
4)/2 または 10 (図 A.6 の 10 本の接続線で示されている)。
*回答「キーを安全に配布する」は間違いです。すべてのユーザーにキーを安全に配布することは、明らかに非常に重要な要件であるためです。
答え d は不正解です。なぜなら、鍵が侵害されると実際に次のようなことが起こる可能性があるからです。
攻撃者がキーの所有者になりすますことができるため、
虚偽のメッセージを読んだり送信したりすること。