内部

外部の

コードサイニング

戦略、基準、対策、ガイドラインを策定する

危機管理

人員の安全

セキュリティ意識向上トレーニング

論理アクセス制御メカニズムを実装および維持する

パスワードとリソースの管理

識別および認証方法

安全装置

施設およびさまざまな部門への個人のアクセスを制御するための措置（アクセス制御、セキュリティ、ロック）

保護境界線 (フェンス、壁、照明)

物理的な侵入検知

環境管理

予防（抑止）、検知、是正・復旧（バックアップ、BCP、DRP） 補償（制御）

制御環境

リスクアセスメント

制御活動

情報・通信

モニター

サービス戦略

サービスデザイン

サービス移行

サービス運営

継続的なサービス改善

初期、反復可能、定義済み、管理対象、最適化中

初期、管理、定義、定量管理、最適化

リスク評価の結果、法規制の要件、組織の業務に基づいて、 運用上のニーズに基づいて管理目標と管理措置を決定する

選択したセキュリティ制御を実装します。

ポリシー、手順、基準および法令に従って、 安全対策の実施に関するコンプライアンスチェックの実施

検査結果に基づいた対策を講じ、安全性の向上を図る

情報セキュリティに関する最も一般的な声明

情報セキュリティに対する経営トップの責任の表明

守るべきものと目的を説明する

ポリシー実施のための強制メカニズムを確立する

標準と同様に、システムのセキュリティを強化する方法も推奨されます。

ポリシーで要求される最小レベルのセキュリティ要件を満たす

特定のタスクを実行するための詳細な手順 (特定)

この手順は、保護タスクを実行するための特定の手順の詳細な説明 (HOW) です。

情報セキュリティ活動の予算

開発戦略、手順、ベースライン、標準およびガイドラインの開発

セキュリティ意識向上プログラムを開発する

経営会議に参加する

内部および外部監査を支援する

組織の許容可能なリスクレベルを定義する

セキュリティの目標と戦略を決定する

ビジネス ニーズへの対応がセキュリティ活動の優先順位を決定します

リスク評価と監査レポートをレビューする

セキュリティリスクによるビジネスへの影響を監視する

重大な安全違反を伴う原子力事故の見直し

セキュリティ ポリシーと計画に対する重要な変更を承認する

会社の財務諸表および財務情報の完全性

会社の内部統制システム

独立監査人の雇用と業績

内部監査機能の遂行

倫理に関する法的要件および会社ポリシーを遵守します。

長期計画（例：5年）

比較的安定しており、組織の目標と使命を定義します。

中期計画（例：1年）

戦略計画で定められた目標の達成に向けたタスクと進捗状況の詳細な説明。 雇用計画、予算計画など。

短期的で詳細な計画、頻繁に更新される

トレーニング計画、システム展開計画などの月次または四半期ごとの更新。

特定の事業部門の管理を担当し、特定の情報の保護と適用を担当します

「相当の注意」を払う義務がある

責任

技術的な役割ではなくビジネス上の役割

IT 部門またはセキュリティ部門の役割

責任

1 つ以上のシステムを担当し、それぞれが異なるデータ所有者が所有するデータを保持および処理する場合があります。

セキュリティ要素をアプリケーションとシステムに統合する責任を負います

システムの脆弱性が確実に評価されるようにする

システムのセキュリティを確保するために適切なセキュリティ対策を講じてください

セキュリティ規制とポリシーの実装、監視、施行を担当します

セキュリティ委員会および情報セキュリティ責任者への報告

システムをチェックして、セキュリティ要件が満たされているかどうか、およびセキュリティ制御が有効であるかどうかを判断します。

セキュリティ目標管理に対する独立した保証を提供する

ポリシー、標準、ガイドラインの開発を支援し、ベンチマークを設定する

主に設計レベルであり、実装レベルではありません

アプリケーションのセキュリティ意識を持ち、セキュリティ ポリシーを遵守し、システムを適切に使用し、セキュリティ インシデントを報告する

リスクを軽減し、採用コストを削減し、離職率を削減します。

企業の機密情報を保護する

機密性の高い、価値のある、または重要なタスクを最初から最後まで完全に制御できる人は一人もいないはずです

目的: 不正またはエラーの可能性を減らす

例：

責任を割り当てるために必要な最小限の権限

個人が過度に制御できるようにするために、1 人が長時間固定された位置を保持しないようにします。

相互トレーニングを促進し、不正行為を検出するために人員のバックアップを設定する

機密性の高い部門の担当者に休暇を強制することで、不正行為、データ改ざん、リソース乱用などを効果的に検出できます。

機密保持契約は第三者の組織および個人と署名する必要があります

第三者のすべての作業活動を監視する

アクセス時にサードパーティ担当者の身元が確認されるようにする

上記の措置を踏まえ、追加の人事経歴調査を実施

サードパーティの担当者がサイトを離れたため、関連する許可を取り戻す必要がある

安全専門家に仕事に必要な専門スキルを提供する。

方法：

セキュリティに関する洞察

"なぜ"

情報システムの管理・保守担当者を中心に、セキュリティ関連の業務スキルを指導

方法：

知識を得ます

"実行する方法"

セキュリティと管理の重要性についての、組織の従業員間の一般的な集合的認識

方法：

メッセージを送る

"それは何ですか"

脅威モデリング （ストライド）

リスクを特定する

リスクを分析する

リスクを評価する

ITリスクに焦点を当てた定性的RAアプローチ

1. システムの分類、2. 弱点の特定、3. 脅威の特定。 4. 対策の特定 5. 可能性の評価 6. 影響評価。 7. リスク評価 8. 新たな対策の推奨 9. 文書による報告。

情報資産リスクに基づく自律的な情報セキュリティリスク評価仕様書、 これは資産主導であることを重視しており、3 つのステージと 8 つのプロセスで構成されています。

OCTAVE アプローチは、リスク管理プログラムを組織全体に展開し、セキュリティ計画と統合します。

基本プロセス: 資産の特定と評価、対策の選択と推奨。

コストと時間を削減するために本当に評価が必要なシステムのみに焦点を当てる事前審査

予算が限られている状況

システムが直面する可能性のあるすべての脅威のツリーを作成します。枝はサイバー脅威などを表すことができます。 物理的な脅威やコンポーネントの障害などのカテゴリでは、RA の実行時に未使用のブランチを剪定する必要があります。

ハードウェア分析から得られます。各コンポーネントまたはモジュールの潜在的な障害を調査し、障害の影響を調査します。

オーストラリアのリスク評価方法は安全性を目的として使用されていない

各資産の所有者、管理者、ユーザーを特定する

資産リストを作成し、業務プロセスに基づいて情報資産を特定する

情報資産の存在形態

評価要素

重要性（影響または結果）に基づいて資産を分類し、 また、機密性、完全性、可用性が損なわれた場合に起こり得る結果も考慮してください。

資産は複数の脅威に直面する可能性があり、脅威は複数の資産に影響を与える可能性があります。

脅威の発生源を特定する

脅威の可能性を評価するには、脅威源の動機と能力が考慮されます。

各資産の悪用される可能性のある脆弱性

識別経路

リスクの治療方法

リスク管理措置の選択戦略

セキュリティ管理の導入後に残る、または残るリスク

資産に価値を割り当てる

脅威ごとに潜在的な損失を見積もる

脅威分析を実行する

資産と脅威ごとに計算 単一損失予測 (SLE)

脅威ごとに潜在的な年間損失を計算する

判断力、ベストプラクティス、直感、経験

グループ意思決定方法、デルファイ

アンケートの質問

診る

インタビュー

犯罪の実行を支援するツールとしてコンピューターを使用する。 コンピュータは犯罪に必須の要素ではありませんが、犯罪を支援するツールとして機能します。

コンピュータ、ネットワーク、およびこれらのシステムに保存されている情報に対する犯罪

コンピュータは必ずしも攻撃者または被害者であるとは限りません。 それが起こったとき、たまたま攻撃に巻き込まれただけです。

市民法

刑法

行政法

企業の競争力や市場力が重要

あまり知られていませんが、同社は開発に関連するリソースと労力を投資しました。

開示や不正使用を防ぐために会社から適切な保護を受ける

例：

ほとんどの作品を公に公開、コピー、表示、変更する法的に保護された権利

それは作品の創造性を保護するものではなく、創造性の表現を保護するものです。

例：

企業のイメージを表す言葉、名前、シンボル、形、音、色を保護します。

商標は通常、商標登録機関に登録されます。

商標は、企業が市場活動において確立した品質と信頼性のマークです。

特許登録者または企業による特許所有権の法的承認、他者または企業による無断使用の禁止

特許は20年間有効です

例：

一人でいられる権利

個人に対する不当な権利からの保護

どの個人情報を誰に配布するかを決定する権利

不当な侵害を防ぐためには、インフォームド・コンセントと適切な保護措置が肝心です。

適切な方法の欠如を防ぐために、基本は「公平性と正義」であり、エラー修正メカニズムが存在します。

個人データの収集にはデータ主体の同意と目的の通知が必要です

目的に関連するデータのみを収集し、目的に必要な期間のみ使用し、保存します。

データ収集の方法 データの目的の方法

個人情報が悪意により侵害されることを防止するための技術的、管理的および運用上の合理的な措置を講じます。 データの整合性と機密性を確保し、関連する作業を行う必要のない人によるアクセスを防ぐために古いデータを消去します。

収集した情報を確認し、エラーを修正します

地震、洪水、自然火災、火山噴火、激しい対流気象などの自然災害

システム/技術 (ハードウェア、ソフトウェアの中断、システム/プログラミング エラーなど)

供給システム、通信障害、配電システム障害、配管破断

人工、爆発、火災、破壊行為、化学汚染、有害なコード

政治、テロ活動、暴動、ストライキ

組織にとって、重要なビジネス機能につながるものはすべて、 一定期間内に実施できない事象を災害とみなす

特徴：

2つの要素

災害や事業中断による影響を軽減する

リソース、人員、ビジネスプロセスをできるだけ早く復旧させるために必要な措置を講じます。

さまざまな状況に直面しても組織が事業運営を維持できるようにする

長期的な生産停止や災害時の対策・手法の提供を中心に長期的な視点で課題を解決

緊急時の対応はタイムリーかつ適切に行います

命を守り、安全を確保する

ビジネスへの影響を軽減する

重要なビジネス機能を回復する

災害時の混乱を軽減

ビジネスの存続可能性を確保する

災害発生後はすぐに「稼働」を開始

継続計画戦略 (ポリシー) を策定する

ビジネスへの影響分析 (BIA) を実行する

予防管理方法の決定

回復戦略を策定する

BCPの策定

BCPのテスト

事業継続計画を維持する

プログラム開発チームと経営陣の間のコミュニケーションと連携

計画に関係する全員と直接連絡し、コミュニケーションをとる権利

事業中断が組織のビジネスに及ぼす影響を完全に理解する

組織のニーズと業務に精通しており、組織の関連部門のさまざまなニーズのバランスをとる能力

上級管理職へのアクセスが容易になる

組織のビジネスの方向性と上級管理者の意図を理解する

上級管理職の決定に影響を与える能力

目標、範囲、ニーズ

基本原則とガイドライン

義務と責任

キーリンクの基本要件

災害や混乱イベントの影響を重大度の観点から判断するための定性分析

災害や混乱事象の影響を金額で定量的に分析

停止の影響を分析する

ビジネス機能ごとに回復期間を決定する

問題点

応答の提案

定性的および定量的な自動化ツール 情報の統合と分析を支援する

事業者の代表者が情報分析結果を確認・確認

作業の回復時間は比較的固定されています

システムの利用不能が組織に深刻な影響を与える前に 消費できる最大時間

処理を続行するためにデータを回復する必要がある時点。 つまり、許容されるデータ損失の最大量