説明/参照:
アドバイザリー ポリシーは、従うことが義務付けられていないものの、強く推奨されているセキュリティ ポリシーであり、おそらく、従わない場合に重大な結果 (解雇、職務上の警告など) が定義されています。このようなポリシーを設けている企業は、ほとんどの従業員にこれらのポリシーを必須であると考えてもらいたいと考えています。
ほとんどのポリシーはこの広いカテゴリーに分類されます。
アドバイザリー ポリシーには、多くの除外または適用レベルを含めることができます。したがって、これらのポリシーは、組織内での役割と責任に応じて、一部の従業員を他の従業員よりも強く制御できます。たとえば、次のようなポリシーです。
トランザクション処理に特定の手順が必要な場合は、特定の指定された条件下で代替手順が許可される場合があります。
規制
規制ポリシーは、コンプライアンス、規制、またはその他の法的要件により組織が実装する必要があるセキュリティ ポリシーです。これらの企業は、金融機関、公益事業、または公益のために活動するその他の種類の組織である可能性があります。これらのポリシーは通常、非常に詳細であり、組織が運営されている業界に固有のものです。
規制ポリシーには通常、次の 2 つの主な目的があります。
1. 組織が特定の業界の標準的な手順または業務の基本慣行に従っていることを確認するため
2. 組織が標準および一般に受け入れられている業界ポリシーに従っていることを確信できるようにする
有益なポリシーは、単に読者に情報を提供するために存在するポリシーです。暗黙の要件や指定された要件はなく、この情報の対象者は特定の内部 (組織内) または外部の関係者になる可能性があります。これは、ポリシーが一般公開されることを許可されているという意味ではなく、機密性を損なうことなく外部関係者 (エクストラネットにアクセスするベンダーなど) に配布できるほど一般的であることを意味します。
参考文献:
KRUTZ、Ronald L. & VINES、Russel D.、『CISSP Prep Guide: Mastering the Ten Domains of Computer Security』、John Wiley & Sons、2001 年、12 ページ、第 1 章: セキュリティ管理の実践。
以下も参照してください。
CISSP 準備ガイド:コンピューター セキュリティの 10 つのドメインをマスターする (Ronald L. Krutz、Russell Dean Vines、Edward M. Stroz 著)
以下も参照してください。
http://i-data-recovery.com/information-security/information-security-policies-standards-guidelines-and-procedures

この責任は、情報所有者が直接実行するのではなく、データ管理者に委任されます。
「情報に必要な分類レベルを決定する」は誤りです。これは情報所有者の重要な責任の 1 つです。
「ビジネス ニーズに照らして分類の割り当てを定期的に確認する」は誤りです。これは情報所有者の重要な責任の 1 つです。
「データ保護メカニズムのメンテナンスの責任をデータ管理者に委任する」は誤りです。これは情報所有者の責任です。

組織全体のセキュリティ ポリシーから逸脱すると、リスクを管理する必要があります。セキュリティ ポリシーから逸脱した場合は、発生する可能性のあるリスクを受け入れる必要があります。
場合によっては、特定のシナリオで発生するリスクを単純に受け入れることが組織にとって賢明な場合もあります。リスク受容とは、特定のリスクを受け入れる慣行であり、通常は、別の方法でリスクに対処する場合のコストと利益を比較検討するビジネス上の決定に基づいています。
OIG はリスク管理を次のように定義しています。 この用語はプロセス全体を特徴づけます。
リスク評価の第 1 段階には、リスクの特定、リスク軽減策、リスクの受容、回避、移転に関する決定の実施による予算への影響が含まれます。
リスク管理の第 2 段階には、適切なリスク軽減策の優先順位の割り当て、予算編成、実施、および維持のプロセスが含まれます。
リスク管理は、複雑さが増す継続的なプロセスです。これは、エクスポージャーの影響を評価し、それに対応する方法です。リスク管理は、識別、測定、制御を通じて、望ましくないイベントによる情報資産の損失を最小限に抑えます。これには、継続的な有効性レビューとともに、全体的なセキュリティのレビュー、リスク分析、セーフガードの選択と評価、費用対効果の分析、経営判断、セーフガードの特定と実装が含まれます。
リスク管理は、経営幹部が現在のリスクを確実に把握できるようにするためのメカニズムを組織に提供し、リスク回避、リスク移転、リスク軽減、またはリスク受容といったリスク管理原則の 1 つを使用するための十分な情報に基づいた意思決定を行うことができます。
リスクに対処する 4 つの方法は次のとおりです: 回避、移転、緩和、受容 次の回答は不正解です。
リスクの割り当て。それは注意をそらすものであり、割り当てはリスクを管理する方法の 1 つではないため、これは不正解です。
リスク削減。セキュリティ ポリシーの逸脱があったため、これは不正解です。ポリシーから逸脱すると、追加の暴露を受ける可能性があります。
リスクの封じ込め。それは注意をそらすものであり、封じ込めはリスクを管理する方法の 1 つではないため、これは不正解です。

ユーザーだけが重要なプロセスを破壊する十分な権利を持たないようにすることは、職務分離の原則に関わるものであり、最小特権の原則には関係しません。出典: DUPUIS、Clement、『アクセス コントロール システムと方法論』CISSP オープン スタディ ガイド、バージョン 1.0、2002 年 3 月 (33 ページ)。

Clark-Wilson モデルは、サブジェクト指向およびオブジェクト指向の他のモデルとは異なり、いわゆるアクセス トリプルをもたらす 3 番目のアクセス要素プログラムを導入し、権限のないユーザーによるデータやプログラムの変更を防ぎます。Biba モデルは、オブジェクトとサブジェクトを使用し、整合性レベルの階層的な格子に基づいて整合性に対処します。非干渉モデルは、情報フローに制限を設けた情報フロー モデルに関連しています。サザーランド モデルは、推論の問題に焦点を当てて整合性にアプローチします。