Shared Assessments Certified Third Party Risk Professional (CTPRP) Study Guide によると、サードパーティのリスク評価者の役割は、ISO、NIST、COBIT、 COSO1。評価者の役割は、管理の有効性について意見を提供することではなく、むしろ事実的かつ客観的な方法で評価結果を報告することです2。評価者の役割は、統制環境を理解するために対象分野の専門家とともに発見を実施すること、統制のテストまたは検証によってリスク評価アンケートの回答を発見して検証すること、コンプライアンス成果物をレビューし、コンプライアンスの評価に基づいて潜在的な統制ギャップを特定することでもあります。制御属性の存在1。これらはすべて、業界の枠組みを使用して統制評価を実施する際の評価者の役割を説明する真実の記述です。
参考文献:
*1: Shared Assessments Certified Third Party Risk Professional (CTPRP) スタディ ガイド、29 ページ
※2：第三者リスク評価とは？- リスクオプティクス

内部告発によるコンプライアンス問題の報告メカニズムは、組織内での倫理的行動と説明責任を確保するために重要ですが、サービスプロバイダーの従業員や請負業者のセキュリティとプライバシーの意識には直接関係しません。他のトピックは、フィッシング、ソーシャル エンジニアリング、不正アクセス、データ侵害などの外部および内部の脅威から組織の機密データとシステムを保護するサービス プロバイダーの能力を評価するのにより関連性が高くなります。したがって、B は、以下の場合に最も重要ではないトピックです。サービスプロバイダーのセキュリティおよびプライバシー意識向上プログラムを評価する。参考文献:
* 共有評価 CTPRP スタディ ガイド、43 ページ、セクション 4.2.3: セキュリティおよびプライバシー意識向上プログラム
* サードパーティのセキュリティ: リスクを評価し、エコシステムを保護するための 8 つのステップ、ステップ 4: ベンダーのセキュリティ意識とトレーニング プログラムを評価する
* サードパーティ リスク管理とは、セクション: サードパーティ リスク管理プログラムの実装方法、箇条書き: セキュリティとプライバシーの意識向上トレーニング

認定サードパーティ リスク プロフェッショナル (CTPRP) ジョブ ガイドによると、サードパーティ リスク プロフェッショナルの重要な任務の 1 つは、「特定された問題に対する是正措置プロセスを管理し、タイムリーな解決を確実にする」(p. 10) ことです。このタスクには次の手順が含まれます。
* 評価の結果と推奨事項を文書化し、適切な関係者に伝達します。
* 調査結果と推奨事項を基幹業務 (LOB) と確認し、リスクの受け入れまたは拒否を取得します。
* LOB がリスクを受け入れる場合は、その根拠と承認をリスク登録簿に文書化します。
* LOB がリスクを拒否した場合は、ベンダーと協力して根本原因に対処し、リスクを軽減する修復計画を作成します。
* 是正計画の進捗と完了を監視し、是正措置の有効性を検証する
* 是正の結果を使用してリスク登録とベンダー プロファイルを更新する。したがって、是正措置を管理する役割と責任を最もよく表す記述は C です。これは、発見事項をレビューする必要性と、LOB による是正の必要性を反映しているからです。ベンダーと修復計画を共有する前に、リスクを受け入れる必要があります。これにより、LOB がリスクとその影響を認識し、ベンダーがタイムリーかつ満足のいく方法で問題を解決することに尽力することが保証されます。
参考文献:
* CTPRP ジョブ ガイド、共有評価、2020 年
* サードパーティ リスクに関するベスト プラクティス ガイダンス、グローバル リスク専門家協会 (GARP)、2019 年
* 是正および予防措置 (CAPA) のための簡単なガイド、Qualcy eQMS、2020
* [EHS 是正措置計画の 3 つの主要な部分]、EHS Daily Advisor、2021 年

セキュア SDLC は、計画から展開、メンテナンスに至るソフトウェア開発ライフ サイクル全体を通じて、セキュリティのベスト プラクティスと標準を統合するフレームワークです。セキュアな SDLC は、単に後付けやコンプライアンス チェックとしてではなく、開発プロセスのあらゆる段階でセキュリティが考慮され、実装されるようにすることを目的としています。安全な SDLC は、組織が次の利点を達成するのに役立ちます12:
* 脆弱性を早期かつ継続的に特定して軽減することで、セキュリティ侵害やインシデントのリスクを軽減します。
* ソフトウェア製品が機能要件とセキュリティ要件の両方を満たしていることを確認することで、ソフトウェア製品の品質と信頼性を向上します。
* コストのかかるやり直し、修復、セキュリティ上の欠陥による評判の低下を回避し、時間と費用を節約します。
* 安全で準拠したソフトウェア ソリューションを提供することで、顧客の信頼と満足度を向上します
* 開発者、テスター、その他の関係者の間でセキュリティに対する意識と責任の文化を育成します。
* 安全な SDLC | 安全なソフトウェア開発ライフサイクル | スニック
* セキュア ソフトウェア開発ライフ サイクル (SSDLC) とは何ですか? - オタクのためのオタク

「多層防御」セキュリティ モデルでは、最も内側の層は通常、最も機密性の高い重要な資産の保護に重点を置き、多くの場合「プライベート内部」として分類されます。この層には、組織のインフラストラクチャとデータの中核となる機密部分を保護するように設計されたセキュリティ制御と対策が含まれています。これには、アクセス制御、暗号化、機密システムとデータの監視などの制御が含まれており、不正アクセスを防止し、データの整合性と機密性を確保します。の
「プライベート内部」層は、組織の運営に不可欠な重要な情報とシステムのセキュリティを維持するために非常に重要であり、侵害された場合に最も重大な影響を与える可能性があります。
この層で堅牢なセキュリティ対策を実装することは、重要なインフラストラクチャや機密情報への物理的アクセスに関連するリスクを軽減するために不可欠です。
参考文献:
* NIST SP 800-53 (連邦情報システムおよび組織のセキュリティとプライバシー管理) および実装に関する SANS Institute のガイドラインを含むセキュリティのフレームワークと標準
「多層防御」では、組織の情報システムの最も内側の層を保護するための詳細な推奨事項を提供します。
* ASIS International による「Physical Security Principles」などの出版物は、アクセス制御システム、監視、侵入検出メカニズムなど、プライベート内部層を保護するためのベスト プラクティスに関する洞察を提供します。