Wondershare EdrawMind
マインドマップギャラリー CISSP 学習ノート - ドメイン 1 (セキュリティとリスク管理)
- 9
CISSP 学習ノート - ドメイン 1 (セキュリティとリスク管理)
CISSP 試験のレビュー、ドメイン 1 のセキュリティとリスク管理に関する知識ポイントと重要な演習の概要、役立つ情報が満載です。困っている友達は急いで集めてください。
2024-02-12 08:29:54 に編集されました
- おすすめ
- アウトライン
CISSP 学習ノート - ドメイン 1 (セキュリティとリスク管理)
知識のポイント
1.2.CIA トリプレット
機密保持
機密性とは、人であれプロセスであれ、権限のない主体による情報資産へのアクセスを防ぐことを指します。
誠実さ (インテアリTV)
整合性保護により、データへの不正な変更が防止されます。
可用性
可用性とは、投資事業体にオブジェクトへのタイムリーかつ中断のないアクセスが許可されることを意味します。
信頼性 (Authenticitv)
信頼性とは、データが本物であるか、データが含まれていると主張するソースからの本物であるというセキュリティ概念であり、完全性と否認防止です。
否認防止
否認防止により、アクティビティの主体またはイベントを引き起こした人は、イベントが発生したことを否定できなくなります。
バランスの取れたセキュリティ
各組織は、それぞれの状況に基づいて CIA を検討する際の優先順位が異なります。
1.3 セキュリティ ガバナンスの原則を評価して適用する
ビジネス戦略と目標に合わせたセキュリティ機能
組織のセキュリティ機能を構築するときは、まず組織の全体的なビジネス戦略およびミッション ステートメントと一致するセキュリティ戦略を設計する必要があります。ビジネス目標や目標を達成する組織の能力を損なうことなく、会社のシステムや情報の機密性、整合性、可用性を効果的に維持できるように、具体的で測定可能、達成可能、関連性のある期限付きの一連の目標と目標を策定する必要があります。
効果的なセキュリティ プログラムを実行するには、法的要件やコンプライアンス要件だけでなく、ビジネス ニーズや組織の戦闘経路を慎重に検討する必要があり、セキュリティ機能の有効性を管理するために組織全体のガバナンスが必要です。
1.3.1. 組織プロセス
セキュリティガバナンス
ガバナンス委員会
ガバナンス評議会は、組織に対するすべてのリスクの管理を担当する幹部で構成され、組織のセキュリティ機能を監視しながら、セキュリティ機能が組織とその利害関係者の両方のニーズに応え続けることを保証することが主な目的です。彼らは、進行中および計画中のプロジェクト、リモート指標、および企業全体に関係する可能性のあるその他のセキュリティ問題をレビューします。
合併と買収 (M&A)
買収にはそれぞれ特有の状況が伴うため、両組織のセキュリティ専門家が協力して各組織のセキュリティ管理を評価し、冗長性を排除してシステムの封じ込めを確実にする方法を見つけ出す必要があります。
考えられるリスクポイント:
• 未知の内容: IT 設備、セキュリティ管理、プロセスは既存のシステムとどのように統合されますか?
• 新しい攻撃ベクトル: 現在の組織が Windows と Linux システムのみを使用している場合、買収された組織は Macos システムを使用します。
•リソースへの影響: 既存の人員が既存の機能の正常な動作を保証できるかどうか。新しいシステムを無事に受け取ることができますか?
•不満を抱いている従業員: 不満を抱いている従業員は、内部関係者の重大な脅威です。
対策:
•企業の情報セキュリティポリシーと手順を確認する
•会社のデータ資産を確認します。適用される規制要件またはコンプライアンス要件 (PCI、HIPAA、GDPR など) を特定します。
•組織の人事セキュリティポリシーを見直す
•企業が管理する独自のアプリケーションまたはカスタム アプリケーションを特定し、セキュリティ体制を実証するために静的および動的アプリケーション セキュリティ テストを要求します。
•Zhouqiu は、ネットワーク、オペレーティング システム、アプリケーション、データベースのテストを含む、最近の侵入テスト (ペネトレーション テスト) の結果を提供します。
• 組織によるサードパーティ ソフトウェアおよびオープン ソース ソフトウェアの使用状況を確認し、ソフトウェアが安全で適切にライセンスされていることを確認します。
1.3.2. 売却
売却とは、事業の一部を独立した組織に分離することです。
実行できるアクション:
• 売却に関係するすべての資産を特定し、分類します。これにはハードウェア、ソフトウェア、情報資産が含まれます。
•影響を受けるシステムを残りのインフラストラクチャから分離します。
•すべてのアクセス権を確認します。
• 法務チームおよびコンプライアンス チームに相談して、データの保持、削除などに関して必要なすべての規制要件およびコンプライアンス要件に従っていることを確認します。
1.3.3. 組織の役割と責任
1.3.3.1 最高情報セキュリティ責任者 (CISO)
最高情報セキュリティ責任者は、組織内の情報セキュリティ プログラムの全体的な管理と監督を担当する上級管理者です。
最高情報セキュリティ責任者は、組織のセキュリティ戦略とビジョンを推進し、会社のシステムと情報のセキュリティに最終的な責任を負います。
1.3.3.2 最高セキュリティ責任者 (CSO)
CSO は組織内の上級幹部であり、通常はすべての物理的セキュリティおよび人的セキュリティの問題に責任を負います。
多くの組織は、CSO の責任を CISO の役割に統合しています。
1.3.4. セキュリティ管理の枠組み
1.3.4.1 セキュリティ管理の枠組み
セキュリティの脅威を防止、検出、軽減、または対抗するために組織が使用する技術的、運用的、または管理的な保護手段。
1.3.4.2 セキュリティ制御の種類:
技術的制御: ファイアウォール、I1DS/PS、データ損失防止 (DLP) などのシステムベースの保護と対策 •
運用管理:警備員など主に人間が行う防護措置や対策。
管理制御: 情報セキュリティのリスクを制御するためのポリシー、手順、およびその他の対策を含みます。
1.3.4.3 共通のセキュリティ管理フレームワーク:
1.3.5. 慎重かつ責任感を持って行動する
1.3.5.1 適正な注意
警戒原則は、情報の機密性、完全性、可用性の維持など、情報セキュリティを保護するための合理的かつ賢明な行動を指し、すべての人に適用されます。この原則は、情報セキュリティの専門知識のレベルに関係なく、あらゆる個人または組織に適用されます。
1.3.5.2 デューデリジェンス
デューデリジェンスとは、合理的なセキュリティ対策が実施され、効果的に機能していることを確認するために情報セキュリティにおいて講じられる一連の対策を指します。これには、正式なセキュリティ フレームワークの開発、セキュリティ ポリシー、標準、ベースライン、ガイドラインと手順の開発などが含まれます。この点に関して、デューデリジェンスが確実に実行されるようにするのは上級管理職の責任です。
1.4 コンプライアンスおよびその他の要件の決定
1.4.1. 契約上、法律上、業界標準および規制上の要件
CISSP では、コンプライアンスを、適用されるすべての法律、規制要件、業界標準、および契約上の取り決めを理解して満たすために組織が実施する一連の活動を含む、義務への準拠と定義しています。セキュリティ専門家は、自分のビジネスに適用されるさまざまな国、地域、州の法律を理解する必要があります。
1.4.1.1 「コンピュータセキュリティ法」
1987 年に米国議会で可決されましたが、削除され、FISMA に置き換えられました。
1.4.1.2 「フィスマ」
連邦情報セキュリティ管理法に基づき、すべての米国連邦政府機関とこれらの機関に情報サービスを提供する非政府組織は、NIST リスク管理フレームワーク (RMF) に準拠したリスクベースのセキュリティ評価を実施することが義務付けられています。
1.4.1.3 「SOX」
上場会社の財務に関する規制
1.4.1.4 「PCI DSS」
ペイメントカード業界の規制
1.4.1.5 「SOC」
システムおよび組織の制御を表し、SOC1、SOC2、および SOC3 という名前の 3 つの一般的に使用される SOC 監査およびレポート タイプを備えた監査フレームワークです。
SOC1: 財務諸表に関する監査
SOC2: 詳細な監査およびコンプライアンス レポート。通常は公開されていません。
SOC3: SOC2 の簡易バージョンであり、一般に公開されています。
1.4.2. プライバシー要件
プライバシー要件とは、情報処理中の個人情報のセキュリティと機密性を保護し、個人情報へのアクセスを許可された当事者の許可された使用範囲に制限することを指します。本質的に、プライバシーとは、個人のプライバシーの権利を保護するために、個人を特定できる情報を保護することを指します。
1.4.2.1PII
個人識別情報 (PII)、名前、住所、電話番号、銀行カード番号、運転免許証、社会保障番号 (ID カード) など、個人を特定できる情報。
1.5. 情報セキュリティ全体に関連する法規制の問題を理解する
1.5.1. サイバー犯罪とデータ侵害
1.5.1.1 サイバー犯罪
サイバー犯罪とは、コンピュータまたはインターネットに直接関与する犯罪行為を指し、主に次のような行為が含まれます。
1. 個人情報の盗難など、人に対する犯罪
2 コンピュータに損害を与えたり、知的財産を盗んだりするなど、財産を侵害する行為
3. 機密情報の窃取など政府に対する犯罪
1.5.1.2 データ漏洩
データ侵害は、サイバー犯罪者によって許可なく情報がアクセスされたり盗まれたりする特殊な種類のサイバー犯罪です。データ侵害の影響を受けた組織は、風評被害、個人情報の盗難事件、罰金、または盗難による知的財産の損失に直面する可能性があります。暗号化は、組織をデータ侵害から保護する簡単な方法です。
1.5.1.3 米国の関連法:
コンピューター詐欺および濫用法 (CFAA): サイバー犯罪を対象としたアメリカ初の刑法で、さまざまな種類のハッキングを連邦犯罪としています。 CFAAの修正案は抵抗に遭った。
電子通信プライバシー法 (ECPA): 米国政府による通信の傍受と情報の保存を制限しており、政府は電子通信に対する捜査令状を取得するために厳格な要件を満たす必要があります。
個人情報の盗難および抑止推定法: 個人の価値の窃盗を連邦犯罪とします。
1.5.2. ライセンスと知的財産 (IP) の要件
1.5.2.1 ソフトウェアライセンス
ソフトウェアは重要な知的財産の形態です。組織は、ソフトウェアの開発とライセンス契約を通じてソフトウェアの保護に多額の資金と人的リソースを投資します。ライセンス契約には一般的に次の 4 種類があります。
1契約ライセンス: ソフトウェアベンダーと顧客の間で、それぞれの責任を概説した書面による契約を使用します。
2 開封時に有効: ユーザーがパッケージのシールを破ったときに有効になります。
3. [同意する] をクリックします。顧客は、ソフトウェアを購入するとき、またはサービスに登録するときに、[同意する] ボタンをクリックするだけで済みます。
4. クラウド サービス ライセンス: クラウド移行のためのクリックスルー契約
1.5.2.2 知的財産権
情報セキュリティ専門家の非常に重要な責任は、組織に属する知的財産を不正な使用や開示から保護することです。
1.著作権
著作権は、創造的な作品が悪用されないように保護します。これらの作品には、書籍、映画、歌、詩、芸術作品、コンピューター ソフトウェアなどのカテゴリが含まれる場合があります。
著作権保護は創作時に自動的に創作者に与えられますが、在職中の創作物は雇用主に帰属しますのでご注意ください。著作権の保護は作者の死後70年間続きます。著作権は、ここに示す C 図記号で表されます。
2.商標について
商標は、製品やサービスを識別するために使用する単語や記号を保護するために使用されます。商標によって保護される情報には、ブランド名、ロゴ、スローガンが含まれます。商標は無期限に存在できますが、登録は10年ごとに更新する必要があります。商標は ™M 記号で表され、政府によって登録ステータスが付与されると、丸で囲まれた R 記号で表すことができます。
3.特許
特許は発明を保護し、発明者に一定期間その発明を独占的に使用する権利を与えます。一度付与されると、特許権は通常、出願日から 20 年間存続します。特許を取得するには、発明者は自分のアイデアが次の 3 つの基準を満たしていることを証明する必要があります。
第一に、それは斬新でなければなりません。
第二に、それは役に立つものでなければなりません。
最後に、それは明らかではないものでなければなりません。
4. 営業秘密
企業秘密があるため、所有者は発明について誰にも話さず、詳細を秘密にします。組織が秘密を保護できる限り、その組織は発明に対する独占的権利を享受します。欠点は、他の人が発明がどのように機能するかを発見した場合、その発明を自由に使用できることです。機密保持契約 (NDA) を通じて、企業秘密を知る組織内の人の知識を制限します。
1.5.3. 輸出入の管理
多くの国では、国境を越える可能性のある情報や商品の種類についての要件があります。情報セキュリティの専門家は、自分の業界に適用されるさまざまな輸出入規制を理解し、活動がこれらの規制に準拠していることを確認する必要があります。
1.5.3.1 米国の輸出入管理
武器取引規則 (TAR) は防衛用品に関連するものです。
輸出管理規則 (EAR) は、機密性の高い電子機器やコンピューター、レーザー、ナビゲーション、海洋技術などを含む、多くの広範な技術カテゴリを対象としています。
1.5.4. 国境を越えたデータフロー
国境を越えたデータ フローは、特定のデータが特定の地理的位置または管轄区域に出入りすることを制限する国の要件を回避することに重点を置いています。例: 中国の「サイバーセキュリティ法」では、中国で収集された中国人のデータは中国国内で保管し、中国政府の許可なしに国外に転送することはできないと規定しています。
1.5.5. プライバシー
個人情報の最も一般的な 2 つの要素は、個人識別情報 (Pll) と保護された健康情報 (PHl) です。
1.5.5.1 米国の関連プライバシー法
1.「個人情報保護法」
主に、米国政府機関による PII の収集、維持、使用、配布を規制および管理します。
2. 医療保険の相互運用性と責任に関する法律 (HIPAA)
PHI 情報を処理または保管する病院、医師、保険会社、その他の組織に対して、厳格なセキュリティ対策を講じることを義務付けます。
3.児童オンラインプライバシー保護法(COPPA)
13 歳未満の子供のプライバシーを保護するために、オンライン ビジネスには厳格なガイドラインが設けられています。
4. 金融サービス近代化法 (GLBA)
金融機関が顧客情報を交換するための規制要件を提案します。政府機関に対し、顧客の個人データを保護するために適切なセキュリティ管理を実装することを義務付けます。
5. 経済的および臨床的健康のための医療情報技術 (HITECH) 法
この法案は HIPAA のプライバシー保護を拡大し、より厳しい罰則を課すものです。侵害通知ルールも導入され、侵害から 60 日以内に影響を受ける当事者に開示する必要があります。
1.5.5.2 関連する EU プライバシー法
1.《データ保護指令(DPD)》
これは欧州国民の個人データの処理を規制するものであり、欧州連合における最初の重要なプライバシー法であり、欧州全体の基本的なプライバシー規制と考えられています。その後の GDPR に置き換えられました。
2. 一般データ保護規則 (GDPR)
個人データの処理に関する 7 つの原則を定めています。
1) 合法性、公平性、透明性: 適用法に従って個人データを取得および処理し、データがどのように使用されるかをユーザーに十分に通知します。
2) 目的の制限: データ収集の「具体的、明確かつ正当な」目的を決定し、その目的を通知します。
3) データの最小化: 合意されたサービスを提供するために必要な最小限のデータを収集および処理します。
4) 正確性: 個人データが「正確であり、必要に応じて更新される」状態を保つようにします。
5) 保管制限: 個人データは、合意されたサービスを提供するために必要な期間のみ保管されます。 「忘れられる権利」を遵守する
6) 誠実さと機密保持
7) 説明責任: データ管理者 (つまり、個人データを保存および処理する当事者) は、すべての要件への準拠を実証できなければなりません。
注: 組織が EU 国民または居住者の個人データを保存または処理する場合、会社が EU 内にあるかどうかに関係なく、GDPR が適用されます。また、データ管理者は個人データ侵害に気づいてから 72 時間以内に関係者に通知する必要があります。国境を越えた情報共有には、標準的な契約条項または拘束力のある企業規則を使用する必要があります。
3. 「セーフハーバー」および「プライバシー シールド」は米国と欧州連合の間のプライバシー保護協定であり、どちらも失効しています。
1.6. 調査タイプの要件を理解する
1.6.1. 調整タイプ
1.6.1.1 行政調査(行政)
問題の根本原因を見つけて解決し、ビジネスが通常の業務を再開できるようにするための組織内での調査。
1.6.1.2 犯罪捜査(刑事)
刑法の違反を調査する政府機関によって行われる調査。
最高水準の証拠: 合理的な疑いを超えています。
1.6.1.3 民事調査(民事)
刑法の違反を調査する政府機関によって行われる調査。
最高水準の証拠: 合理的な疑いを超えています。
1.6.1.4 規制
行政法違反の可能性に対する政府機関による調査、または業界標準の違反に対する独立規制当局による調査。
規制当局の調査は、本質的に民事または刑事の場合があります。
1.7.セキュリティ ポリシー、標準、手順、ガイドラインを開発、文書化、実装する
1.7.1. セキュリティポリシーのフレームワーク
17.1.1 セキュリティポリシー(ポリシー)
セキュリティ ポリシーは、組織の長期的なセキュリティへの期待を非常に注意深く説明し、組織内の情報システムとデータの保護を管理する原則とルールを特定する一連のステートメントです。
•ポリシーの遵守は必須であり、ポリシーは通常、組織の最高レベルによって承認されます。
いくつかの一般的なセキュリティ ポリシー: アクセプタブル ユース ポリシー、アクセス コントロール ポリシー、変更管理ポリシー、リモート アクセス ポリシー、災害復旧ポリシー
1.7.1.2安全基準(規格)
セキュリティ標準は、組織が承認した暗号化プロトコル、データの保存場所、構成パラメータ、その他の技術的および運用上の詳細など、組織が従う必要があるセキュリティ制御の具体的な詳細を指定します。複雑な構成標準に関しては、Center for Internet Security が提供するセキュリティ構成ガイドなどの業界標準が参考になることがよくあります。
安全基準への準拠は必須です。セキュリティ ベースラインは、システム、ネットワーク、またはデバイスの最低限のセキュリティ レベルを確立する標準に関連しており、ベースライン要件が満たされていない場合はオンラインにできません。
1.7.1.3 安全手順(手順)
安全手順は、従業員が特定の安全作業を実行する際に従うことができる段階的な指示です。
1.7.1.4安全ガイドライン(ガイドライン)
ガイドは、セキュリティ専門家が組織の他のメンバーに、情報セキュリティのベスト プラクティスなどのアドバイスを提供する場所です。安全ガイドラインへの準拠は任意です。
1.8 事業継続 (BC) 要件の特定、分析、優先順位付け
1.8.1. ビジネス影響分析 (BIA)
ビジネス影響分析は、組織が定量的または定性的なリスク評価を使用して重要なビジネス機能を特定し、各機能に対する災害の影響を理解するのに役立ちます。ビジネス影響分析は、事業継続計画 (BCP) とその要件の主要な基礎となります。
BlA は、組織がどのビジネス機能の回復力がより高く、どのビジネス機能がより脆弱であるかを判断するのに役立ちます。
1.8.1.1 プロセス:
1. BC プロジェクト チーム、範囲、予算を確立することから始めます。
2.重要なビジネス基盤 (CBF) およびその他の重要なビジネス要素を特定します。
人員
ビジネスプロセス
情報システムとアプリケーション
その他の資産
3.主要事業のリスク分析を実施します。
存在する脆弱性を特定する
•有害事象の可能性
影響レベル
1.8.1.2 影響度の判断方法
1.最大許容ダウンタイム (MTD) または最大許容ダウンタイム (MAO) は、重要なビジネス機能が利用できない合計時間を表します。 MTD は、組織の CBF が適切に機能することに対して最終的な責任を負うシステム所有者によって決定される必要があります。
2.目標復旧時間 (RTO) は、許容できないビジネスへの影響を回避するために、停止後に重要なビジネスを再開する必要がある最大期間です。 RTO は MTD 以下である必要があります。
3. 目標復旧時点 (RPO) は、許容可能なデータ損失の測定値であり、期間で表されます。
1.8.2. 範囲と計画を作成および文書化する
1.8.2.1 事業継続計画(BCP)
事業継続計画は、組織の重要なビジネス機能と顧客を保護し、法的要件や規制要件、MTD、RTO、RPO セットを満たすために指定されたサービス レベルと期間内で組織が効率的に業務を継続できるようにすることを目的として設計されています。組織によって。
事業継続計画 BCPフェーズ
プロジェクトの範囲と計画
組織分析
BCP プロセスに関係する部門および担当者を特定する
コアビジネスを顧客に提供する責任を負う運用部門
IT、設備および保守スタッフ、その他のチームなどの主要なサポート サービス
物理的なセキュリティを担当する企業セキュリティ チーム
上級マネージャーおよび組織の継続的な運営にとって重要な人物
この分析は BCP チームを選択するための基礎となり、BCP チームによる確認後、BCP 開発のその後の段階の指針として使用されます。
BCP チームを選択する
同部門の技術専門家、BCP スキルを持つ物理および IT セキュリティ担当者、会社の法律、規制、契約上の責任に精通した法務担当者、および上級管理職の代表者です。他のチームメンバーは、組織の構造と性質によって異なります。
リソース要件
法的および規制上の要件
ビジネスへの影響分析
BIAはBCPの中核部分であり、5つのステップに分かれています。
優先順位を付ける
ビジネス機能の優先順位リスト
MTD、最大許容中断時間を決定する
RTO、RTO<MTD の決定
目標復旧時点、RPO
リスクの特定
可能性の評価
各リスクの ARO を決定する
影響分析
リソースの優先順位付け
継続計画
戦略開発
準備と加工
人員
建物・施設
インフラストラクチャー
計画の承認と実施
計画の承認
計画の実施
訓練と教育
BCP文書
1.8.2.2 BCP の一般的な範囲
普遍的な BCP 標準はありませんが、ほとんどの計画には通常次のものが含まれます。
重要なビジネス機能
脅威、脆弱性、リスク
データのバックアップとリカバリの計画
FBCP関係者
コミュニケーションプラン
BCPテスト要件
1.8.2.3 人、プロセス、テクノロジーを保護するための要件と技術
1. 職員:
緊急時に組織内外の人々の安全を確保することは、BCP の主な目標です。従業員が緊急時の行動方法を理解できるように、適切なトレーニングと教育を提供します。
2 ・プロセス:
重要なビジネス機能を評価し、災害時に必要なリソースを決定します。継続的な運用を確保するために、重要なデータ処理施設と機能のバックアップ サイト計画を策定します。
3. テクノロジー:
ソフトウェアとハードウェアの障害を予測し、リスクを軽減するための制御を開発します。電力、水道、通信、ネットワーク接続などのインフラストラクチャを含む、データのバックアップと冗長システムを実装します。
1.9 従業員の安全に関するポリシーと手順を推進および施行する
1.9.1 候補者の選考と採用
従業員は安全チェーンの中で最も脆弱な部分である可能性があります。すべての従業員が組織の利益を最優先に考えるわけではないことに注意することが重要です。内部関係者による攻撃は、多くの場合、重大な被害をもたらすセキュリティ侵害につながります。したがって、人員のセキュリティはサイバーセキュリティ計画の重要な基盤である必要があります。
•採用担当者は人事部門と協力して、職務の責任と内容を明確かつ正確に文書化する必要があります。
•役割の機密性または分類を決定して、適切な権限を割り当てます。
1.9.1.1 バックグラウンドチェック
学歴
実務経験
-市民権
-犯罪歴
薬物検査
学年
信用および財務履歴
ソーシャルメディア活動
※外資系企業は一般的に健康診断(通常の健康診断)を重視しません。
1.9.2. 雇用契約とポリシー
1.9.2.1 機密保持契約および競争契約
最も一般的な従業員協定は秘密保持契約 (NDA) と非競争契約 (NCA) です。
1• 機密保持契約 (NDA)
従業員または請負業者 (または機密情報にさらされる可能性のあるその他の人物) が雇用または組織との関係の過程で取得した機密情報の開示を制限する協定です。機密保持契約は、組織データ (企業秘密や顧客情報など) の機密性を維持するために設計されており、通常は (従業員が退職した後も) 生涯契約となります。
2 • 非競争協定 (NCA)
これは、従業員の在職中および多くの場合、退職後の一定期間、組織との直接的かつ不当な競争を制限する不当競争です。競合する契約。競業禁止は、元従業員や請負業者から組織を守ることを目的とした一方的な協定です。
1.9.2.2 組織の要件
NDA および NCA に加えて、従業員は、利用規定 (AUP)、行動規範、利益相反ポリシーなど、組織の他の要件に署名することが求められる場合があります。
1.9.2.3 オンボーディング: 雇用契約と戦略
入社後は、まず雇用契約書に署名する必要があります。役職によっては、従業員に応じて秘密保持契約書 (NDA) と非競争契約書 (NCA) に署名する必要があります。位置。次に、組織文化、戦略、プロセス、スキルなどを含むトレーニングを従業員に提供します。
1.9.2.4 従業員の監督
マネージャーは、各従業員の職務内容、タスク、権限、および責任を、従業員のポジション全体にわたって定期的にレビューまたは評価し、そのポジションの要件を満たしていることを確認する必要があります。
•権限クリープ(権限ドリフト):従業員の仕事内容が増えると、そのポジションの要件を超える権限を取得する場合があります。
•強制休暇: 虐待、詐欺、または過失を検出するために、従業員に 1 ~ 2 週間仕事を離れ、他の従業員と交代することを義務付けます。
•共謀: 摘発されるリスクが高いため、職務の分離、強制休暇、ジョブローテーション、クロストレーニングなどの手段を通じて、従業員が違法または虐待的な計画に喜んで協力する可能性を減らします。
• ユーザーおよびエンティティの行動分析 (UEBA): ユーザーおよびエンティティを分析して、人材管理計画の最適化を支援します。
1.9.2.5 退職、転勤、退職の手続き
従業員が退職する場合には、次の点に注意する必要があります。
• 従業員のユーザー アカウントを同時に、または従業員が監査目的で解雇通知を受け取る前に無効化します (削除はしません)。
•退職面接ではNDAとNCAの責任を強調する。
。従業員が会社の資産 (鍵、アクセス カード、携帯電話、コンピューターなどを含むがこれらに限定されない) を返却するようにします。
• 私物をリサイクルするために作業エリアで従業員に同行する警備員を任命します。
•従業員の離職を関係者全員に通知します。
1.9.2.6 サプライヤー、コンサルタント、請負業者の契約と管理
サプライヤー、コンサルタント、請負業者の契約と管理 複数のエンティティまたは組織がプロジェクトに関与している場合、マルチパーティ リスクが存在します。サービス レベル アグリーメント (SLA) は、サプライヤーの製品またはサービス レベルが期待を満たしていることを保証します。期待を満たさない場合は、サービスの品質を保証するために補償が発生します。サプライヤー、コンサルタント、請負業者はアウトソーシングと呼ばれることもあります。組織は、ベンダー管理システム (VMS) を通じてアウトソーシング管理の効率を向上させることもできます。
1.9.2.7 コンプライアンスポリシー要件
人員のセキュリティ管理は、PCI DSS などの法規制要件を満たす必要があります。
1.9.2.8 プライバシーポリシーの要件
人員のセキュリティ管理は、GDPR などのプライバシー ポリシーの要件を満たす必要もあります。
1.9.3. 人事・異動・退職手続き
採用、異動、離職は雇用の 3 つの段階であり、各段階には独自のセキュリティ上の考慮事項があります。
1.9.3.1 オンボーディングトレーニング
情報を保護し、脅威から守る義務があることを従業員に思い出させ、従業員の行動が精査される可能性があることを認識する必要があります。
1.9.3.2 ジョブの転送
再割り当て時に不要になったアクセス権を削除し、最小特権の原則に従います。
1.9.3.3 辞任
退職は自発的退職と非自発的退職に分けられます。従業員が円満退職する場合は、組織の離職手続きを行うだけで十分です。
非自発的分離の場合は、組織の資産を保護するために適切な措置を講じる必要があります。
•退職面接、署名されたNDAおよびその他の関連契約のリマインダー
•従業員に解雇を通知し、離職チェックリストのチェックを実施しながら、システムへのアクセスを閉鎖する
•残りの従業員に、解雇された従業員が今後組織に加わることを許可されないことを通知します。
分離チェックリストには、アクセス権の取り消し、キー、バッジ、機器、書類の回収が含まれます。
1.9.4. サプライヤー、コンサルタント、および請負業者の契約および管理
組織は、データセンターのホスティングやアプリケーション開発などの機能をアウトソーシングすることが多く、これらのアウトソーシング組織やパートナー組織と NDA やその他の契約を締結すると、コンプライアンスの負担が増大し、第三者による機密情報の漏洩を回避しようとする可能性があります。以下にいくつかの提案を示します。
- アクセス制御の実装
文書交換の口頭審査
メンテナンスフック (バックドア) の管理と監視
現地査定を実施
プロセスとポリシーを確認する
サービスレベル契約の策定
19.5.2 ポリシーの訓練と処罰
• 従業員トレーニング: ポリシーへのコンプライアンスを確保するために、従業員およびその他の関係者に初期および定期的なトレーニングを提供します。
•セキュリティ意識: 情報セキュリティに対する注意と理解を向上させます。
• 職務関連トレーニング: 従業員の職務要件に基づいて特定のトレーニングを提供します。
•ポリシーの結果を明確にする: ポリシーに、懲戒処分、停職、解雇など、コンプライアンス違反の潜在的な結果を明記します。
1.9.5. ポリシー要件の遵守
1.9.5.1 組織のポリシー要件
• 法律および規制の遵守: 組織のポリシーが適用される法律、規制およびその他の法的義務に準拠していることを確認します。
• ポリシーの一貫性: 組織の要件、管理、手順はポリシーと一致している必要があります。
1.9.6. プライバシーポリシーの要件
組織は、機密情報を扱う場合、従業員のプライバシーを保護するために法的および倫理的責任に従う必要があります。この情報には、身元調査、社会保障番号 (ID 番号)、給与情報、健康情報が含まれる場合があります。情報を確実に保つために
セキュリティのために、組織はプライバシー ポリシーで次の原則を取り上げる必要があります。
•最小限化の原則: 正当な雇用プロセスを完了するために必要な情報のみを収集します。
• アクセス制限: そのような情報を知る必要がある人にのみアクセスを提供します。
• 暗号化を使用する: 異常なチャネルから情報が読み取られるのを防ぐために、可能な限り暗号化技術を使用します。
1.10 リスク管理の概念を理解して適用する
1.10.1 脅威と脆弱性を特定する
リスクとは、潜在的な脅威が脆弱性を悪用して、組織、目的、または人、システム、データなどの資産に悪影響を与える可能性のことです。
1.10.1.1 リスク分類
•固有のリスクとは、管理措置が実施される前に存在するリスクのことです。
•残留リスクとは、管理が実施された後に残るリスクのレベルです。
1.10.1.2 脅威:
ハッカー、不満を抱いた従業員、自然災害など、意図的または意図せずに資産のセキュリティを侵害する可能性のある個人または団体。
1.10.1.3 脆弱性
システムの弱点や脆弱性は、脅威アクターによって悪用された場合にリスクを引き起こす可能性があります。
1.10.1.4 資産
資産とは、人、財産、情報など、価値のあるものすべてです。
1.10.2.リスク評価と分析
1.10.2.1 リスク評価の定義
リスクは、脅威、脆弱性、資産の交差点です。リスク評価は、潜在的な脅威と脆弱性を特定し、特定された脆弱性を悪用する脅威の影響と可能性を判断することを含む一連のアクティビティです。
1.10.2.2 リスクを評価する手順:
1. リスクの特定: 資産と組織にとってのその価値を特定する
2. リスク分析: 脅威が脆弱性を悪用する可能性を判断します。
3. リスク評価: これらの潜在的な脅威がビジネスに与える影響を判断します。
4. リスクへの対応: 脅威の影響と対策コストの間の経済的バランスを提供します。
1.10.2.3 リスクの特定
まず、組織の資産を特定してその価値を判断し、次に資産にリスクをもたらす脆弱性と脅威を特定して説明します。
1.10.2.4 リスク分析
リスク分析は脆弱性評価と脅威分析から始まり、リスクが発生する可能性を計算し、その影響に応じてリスクをランク付けします。
1.10.2.4.1 定性的リスク分析
組織の評判やデータの価値など、価値は数値化できないことが多く、資産価値やリスクレベルなどの内容は、高い、高い、などのレベルで判断するしかありません。中、低、0-10、100点法など。
定性的リスク分析手法には、ブレーンストーミング、ストーリーボード、フォーカス グループ、調査、アンケート、インタビュー、シナリオ、Delphi 手法が含まれます。
1.10.2.4.2 定量的リスク分析
定量的リスク分析の主なプロセス:
•資産の棚卸、価値の割り当て(AV)
•資産と脅威を一致させる
•資産と脅威の組み合わせごとにエクスポージャーファクター(EF)を計算します。これは、特定の脅威が資産に侵入した場合に資産が被る損失の割合です。
• 各資産脅威ペアの単一損失期待値 (SLE) を計算します。これは、資産が破壊された後に特定の脅威によって失われる金額です (SLE=AV*EF)。
•各脅威の年間発生率 (ARO) を計算します。つまり、1 年以内に資産に対して特定の脅威が発生する確率です。
• 資産と脅威の組み合わせごとに年間損失予測 (ALE)、つまり特定の脅威による 1 年以内の資産への損害を計算します。
損失額 (ALE=SLE*ARO)
•各資産脅威ペアに対して可能な対策を開発し、年間保護コスト (ACS)、ARO、EF、ALE の変化を計算します。
•各対策の費用対効果の評価を実施します。各脅威に対して最も適切な対応 (ALE_per-ALE_post-ACS) を選択します。その結果、通常の保護対策には価値があり、責任ある保護対策には価値がないという結果になります。
1.10.3. リスク対応
リスク対応には主に 4 つのカテゴリがあります。
1.10.3.1 リスク回避(Avoid)
リスクの一因となる活動やテクノロジーを停止または削除することで、特定されたリスクを排除します。
1.10.3.2 リスクの軽減(軽減)
政策および技術的対策を実施することにより、リスクが引き起こす可能性のある損害を軽減します。
1.10.3.3 リスク移転(移転)
リスク割り当て (Risk Assignment0) とも呼ばれ、リスク関連の責任と潜在的な損失を第三者に譲渡します。
一般的な方法: 保険に加入する。
1.10.3.4 リスクの受容 (承諾)
リスクを回避、軽減、移転するためのコストが、現実の脅威によって予想される損失を超える場合、リスクを受け入れることが選択肢になります。
1.10.4. 対策の選択と実施
1.10.4.1 対策の考慮事項:
・人事関係:
雇用(または解雇)、組織再編、意識向上トレーニングなどは、人材関連の一般的な対応です。身元調査、雇用慣行、セキュリティ意識とトレーニングなど。
・経営関連
ポリシー、手順、およびその他の「ワークフローベースの」緩和策は、通常、このカテゴリに分類されます。数量、手順、データの分類とラベル付け、報告とレビュー、作業の監督。
•テクノロジー関連:
暗号化、構成の変更、その他のハードウェアまたはソフトウェアの変更など。認証方法、暗号化、制限されたインターフェイス、アクセス制御リスト、プロトコル、ファイアウォール、ルーター、侵入検知システム、およびプルーニング レベル。
•物理関連:
警備員、国境地帯、モーション検知器、施錠されたドア、密閉された窓、照明、ケーブル保護、ノートパソコンのロック、バッジ、スワイプカード、犬、カメラ、アクセス制御ロビー、警報器。
1.10.42 対策の有効性
予防、検知、是正の観点から認識を検証し、リスク対策の実効性を確保します。たとえば、暗号化で特定のリスクを解決できない場合は、バックアップを検討するなど、別のアプローチを試してください。
1.10.4.3 対策の費用対効果
セキュリティ対策のコストが、保護される資産の価値に見合ったものであることを確認してください。
1.10.4.4 ビジネスへの影響
誤った使用によるリスクの増大を避けるために、対策の導入と使用が難しすぎるかどうかを検討してください。
1.10.5. 適用可能な制御タイプ
1.10.5.1 制御タイプ
•予防: ファイアウォール、システム バックアップ、IPS などのインシデントの発生を防ぎます。
•検出: イベントアクティビティと 1DS などの潜在的な侵入者を特定します。
•修正: パッチ適用など、インシデント発生後のコンポーネントまたはシステムの修復。
•脅威: フェンスや警察犬などの潜在的な攻撃者を思いとどまらせます。
• リカバリ: システムやデータのバックアップ、災害復旧サイトなど、環境を通常の動作状態に戻すこと。
•補償: 代替の制御手段を提供します。
1.10.6. コントロールの評価 (セキュリティとプライバシー)
組織は定期的にセキュリティ管理評価 (SCA) を実施して、セキュリティとプライバシーの管理が有効であることを確認する必要があります。
SCAは自己評価または第三者による外部評価を利用することができます。
1.10.6.1 SCA評価方法
•検査: 評価者は通常、レビュー、検討、観察、調査または分析のためにセキュリティ ポリシー、構成ファイルなどのリストを提供し、予備的意見を形成することを組織に要求します。
•面接: 評価者は主要な関係者と会い、実施されているセキュリティ管理とその運用方法について詳しく学びます。
。テスト: テストでは、セキュリティ管理が文書どおりに実装され、効果的であり、期待どおりに動作することを確認します。
1.10.7. 監視と測定
• セキュリティ管理は継続的に監視および定量化して、その有効性を測定し、改善のための提案を提供する必要があります。
- 長期的なパフォーマンスを定量化し、管理するために、一連の主要業績評価指標 (KPI) を開発する必要があります。
1.10.8. 報告
正式なレポートを作成して、主要な調査結果や指標を経営陣、規制当局、その他の利害関係者に報告し、評価された各コントロールの結果を詳しく説明します。レポートには次のものが含まれる場合があります。
内部監査(自己評価など)
•外部監査(規制当局やその他の第三者監査など)
•組織のリスクプロファイルの重大な変化
•セキュリティまたはプライバシー管理の大幅な変更
•関連または確認されたセキュリティ侵害(またはその他のインシデント)
1.10.9. 継続的な改善
脅威と脆弱性が変化するにつれて、セキュリティ プログラムは継続的な改善を維持し、管理を強化し、組織全体の情報セキュリティ体制を改善する必要があります。エンタープライズ リスク管理 (ERM) は、リスク成熟度モデル (RMM) を使用して評価し、成熟した持続可能で反復可能なリスク管理プロセスを評価できます。
1.10.9.1 リスク成熟度モデル (RMM)
通常、次の 5 つのレベルが含まれます。
。アドホック: 管理が不十分なその場限りの慣行の使用。
• 予備的: リスク管理プロセスに従うよう努めますが、各部門が独立してリスク評価を実施する場合があります。
•定義: 組織全体で共通または標準化されたリスク フレームワークを採用します。
•統合: リスク管理業務はビジネス プロセスに統合されており、指標を使用して有効性データを収集し、リスクを戦略的なビジネス上の意思決定の要素として扱います。
•最適化: 外部の脅威に対応するだけでなく、目標を達成するためのリスク管理に重点を置きます。事故を回避するだけでなく、ビジネスの成功を達成するために戦略計画を強化します。学んだ教訓をリスク管理プロセスに組み込みます。
1.10.10.リスクフレームワーク
1.10.10.1NIST リスク管理フレームワーク
NIST800-37Rev.2 のリスク管理フレームワーク (RMF) の 6 つの段階:
•分類:
機密性、完全性、可用性の観点から、組織に対する潜在的な影響に基づいてすべての情報システムを分類します。
選択する:
分類と影響に基づいて、コントロールのベースライン セットを選択します。
•埋め込む
選択したコントロールを実装します。
•評価:
制御が正しく実装されているかどうか、計画どおりに動作しているかどうか、および安全に必要な期待される結果が得られているかどうかを評価します。
•許可:
評価後、組織のリーダーは、リスク許容範囲内でシステムを運用する管理者の能力と残留リスクの受け入れに基づいて、システムの使用を許可するかどうかを決定します。
•モニター:
管理の有効性を継続的に監視して、システムが組織のリスク許容範囲内で動作していることを確認します。重大な問題が発見された場合、サイクルはステップ 1 からやり直される場合があります。
1.11. 脅威モデリングの概念と方法論を理解して適用する
1.11.1. 脅威のモデリング
1.11.1.1 脅威のモデリング手法
脅威モデリングを早期に実行するほど、コスト効率が高くなります。大きく分けて以下の3つの側面から
•攻撃者重視
潜在的な攻撃者の特性、スキルセット、動機を判断し、特定の攻撃を実行する可能性のある攻撃者を特定します。防御戦略を策定します。
•資産重視:
組織にとって価値のある資産と潜在的な攻撃者を特定し、攻撃者がどのように資産を侵害するかを評価します。
•ソフトウェア中心:
アーキテクチャ図 (データ フロー図や構成図など) を使用してシステムを表し、各コンポーネントに対する潜在的な攻撃を評価し、セキュリティ制御の必要性、存在、有効性を判断します。
1.11.1.2 脅威モデリングフレームワーク
1.
ストライド(マイクロソフト)
2.
PASTA (攻撃シミュレーションと脅威分析のプロセス)
3.
NIST 800-154 (データ中心システムの脅威モデリングに関するガイドライン)
4. DREAD (非推奨、損傷、複製可能性、悪用可能性、影響を受けるユーザー、発見可能性による脆弱性の定量的リスク ランキング)
5. 他の脅威モデリング手法
•OCTAVE: 組織内の運用リスク、セキュリティ管理、セキュリティ テクノロジに焦点を当てます。
•Trike: リスク管理ツールとして脅威モデルを使用することに重点を置いた、オープンソースの脅威モデリング手法およびツールです。
•CORAS: これもオープンソースで、主に統一モデリング言語 (UML) に依存してフロントエンドの脅威を視覚化します。
•VAST: ビジュアル、アジャイル、シンプルな脅威モデリング、アジャイルの概念を活用したアプローチ
1.11.1.3 STRIDEの詳細説明
•なりすましID
攻撃者は、他人の ID になりすましてアプリケーションやシステムにアクセスすることで不正アクセスを取得します。
・データ改ざん(データ改ざん)
攻撃者は、アプリケーションまたはシステム内のデータを変更または破壊して、予期しないまたは悪意のある結果を引き起こそうとします。
•否認
攻撃者は、責任を回避したり紛争を引き起こしたりするために、システム内で実行される特定の操作やトランザクションを拒否します。
•情報開示
攻撃者は、ユーザーのパスワード、クレジット カード情報、企業秘密などを含む機密情報をシステムから盗んだり、システムからアクセスしたりする可能性があります。
•サービス拒否
攻撃者は、システムを利用不能にしたりクラッシュしたりすることで、システムへの通常のユーザー アクセスを妨げたり、速度を低下させたりしようとします。
•特権の昇格
攻撃者は、アプリケーションまたはシステムの脆弱性を悪用して、通常のユーザーから管理者またはその他の特権ユーザーに昇格する可能性があります。
1.11.1.4 PASTAの詳細説明
PASTA は、ビジネス目標と技術要件を組み合わせた脅威モデリングへのリスクベースのアプローチであり、上級管理職にとって出力がより理解しやすくなります。 STRIDE とは異なり、PASTA アプローチは厳密には、脅威を特定して軽減するための強力なプロセスを提供する脅威特定フレームワークです。
PASTA プロセスは次の 7 つの段階で構成されます。
1. 目標を設定する
ビジネスの目標とニーズを特定して、組織の全体的なリスク許容度、およびリスクにさらされる可能性のある重要なビジネス プロセスと資産をより深く理解します。
2. 技術範囲の決定
攻撃に対して脆弱になる可能性のあるシステムとコンポーネントを理解するために、テクノロジーの範囲とアプリケーションのアーキテクチャが定義されます。
3. アプリケーションの分解
アプリケーションは、各コンポーネントの機能、データ フロー、および
4. 脅威分析
他のコンポーネントとの関係。これは、考えられる攻撃パスと潜在的な脅威を特定するのに役立ちます。内部および外部の脅威を含め、組織に影響を与える可能性のある脅威を分析します。これには、潜在的な攻撃者、その動機と能力、考えられる攻撃手段の特定が含まれます。
5. 脆弱性分析
システムの脆弱性分析を実施して、潜在的な弱点とセキュリティの脆弱性を特定します。これには、コード レビュー、侵入テスト、およびセキュリティ問題を見つけて修正するためのその他のセキュリティ評価方法が含まれる場合があります。
6. 攻撃の列挙
以前の分析によると、烈陽はシステムを攻撃する可能性があります。これは、攻撃者が悪用する可能性のある攻撃ベクトルと経路をより深く理解するのに役立ちます。
7. リスクと影響の分析
それぞれの潜在的な脅威のリスクと影響を評価し、適切な緩和策とセキュリティ ポリシーに優先順位を付けて開発します。これにより、組織はリスクを軽減しながらリソースを効果的に割り当て、重点領域に集中することができます。
1.12 サプライチェーンリスク管理 (SCRM) 概念の適用
1.12.1. ハードウェア、ソフトウェアおよびサービスに関連するリスク
サプライヤーは、組織の情報技術運用において重要な役割を果たします。ハードウェア、ソフトウェア、またはクラウド コンピューティング サービスを提供することで、顧客の工場サービスに不可欠です。セキュリティ専門家は、組織の情報とシステムの機密性、完全性、可用性を保護するために、ベンダーとのビジネス パートナーシップに細心の注意を払う必要があります。ベンダー デュー デリジェンスとして知られるこのプロセスは、ハードウェアの調達に関連する問題を回避するように設計されています。ソフトウェア、およびサービスに関連するリスク。
1.12.1.1 ハードウェアの考えられるリスク:
不良部品や規格を満たしていない部品の画像
偽造品または偽造部品
ファームウェアレベルのマルウェアを含む電子コンポーネントの画像
1.12.1.2 ソフトウェアの考えられるリスク:
トロイの木馬が埋め込まれた
使用されているコンポーネントライブラリに脆弱性があります
1.12.1.3 サービスで考えられるリスク:
データ漏洩
1.12.2. 第三者による評価と監視
ガバナンスと監視活動には、オンサイトのセキュリティ調査、サードパーティ システムの正式なセキュリティ監査、可能な場合は侵入テストが含まれる必要があります。新しいサードパーティ パートナーの場合、組織のセキュリティ要件に照らして評価することが重要であり、ギャップを文書化して注意深く監視する必要があります。
1.12.3. 最低限のセキュリティ要件
ベースラインと同様に、組織は、サプライヤーおよびサプライチェーンの他の参加者が満たさなければならない最小許容セキュリティ基準を決定するために、最小セキュリティ要件 (MSRS) を確立する必要があります。
MSRS は、適用されるすべての法的、契約的、または規制上の要件をカバーするものとします。同時に、確立され伝達された MSRS に準拠するサードパーティのパフォーマンスを監査および評価することが重要です。
1.12.4. サービスレベルの要件
サービス レベル アグリーメント (SLA) は、サービス プロバイダーが次のような特定レベルのサービスを保証することを規定する契約上の取り決めです。
パフォーマンス指標、サービスの可用性、応答時間、およびその他の関連する品質基準。サービスが合意されたレベルで提供されない場合、サービスプロバイダーに影響(通常は金銭的)が発生します。
1.12.5. フレームワーク
1.12.5.1 サプライチェーンのリスクに対処するための枠組み:
1.NIST IR 7622
この文書では、サプライチェーンのリスクに対処する際に考慮すべき 10 の重要な実践方法について概説します。
2.ISO28000
15028000.2007 は、安全管理システムを最適化し、安全慣行に対する組織のコンプライアンスを確保するための、Plan-Do-Check-Act (PDCA) プロセス改善モデルに大きく基づいています。
3. 英国国立サイバーセキュリティセンター (NCSC) のガイダンス
4つの段階に分かれている(12の原則を含む)
•リスクを評価する
•コントロールを確立する
•既存の取り決めを確認する
•改善を続ける
1.13. セキュリティ意識、教育、トレーニング プログラムを確立および維持する
1.13.1. 意識向上とトレーニング方法およびテクニックの提案
セキュリティ意識向上プログラムは、組織の情報とシステムに対する潜在的な脅威を特定して対応する方法をユーザーに教育するために設計された正式なプログラムです。通常、新入社員トレーニング、講義、コンピューター支援トレーニング、印刷物が含まれ、ソーシャル エンジニアリング シミュレーションを通じて、セキュリティ、安全に関する重要な問題への関心を高めるためのゲーミフィケーション。
1.13.1.1 ソーシャルエンジニアリング
ソーシャル エンジニアリングは、攻撃者が他人になりすまして機密情報を入手する操作戦術です。
フィッシングはソーシャル エンジニアリングの最も一般的な形式であり、セキュリティ リスクの主な原因です。
1.13.1.2 警備員
安全チャンピオンは安全に関するベストプラクティスの提唱者であり、安全を主な仕事としない従業員です。
1.13.1.3 ゲーミフィケーション
ゲーミフィケーションとは、ゲーム要素をゲーム以外の状況に適用して、対象ユーザーを引きつけ、教育することです。
1.13.2. 定期的なコンテンツのレビュー
情報セキュリティは進化する分野であり、脅威と脆弱性は常に変化しています。したがって、コンテンツの関連性を確保するには、安全意識、教育、トレーニング プログラムの内容を定期的に見直し、更新する必要があります。時代遅れまたは無関係なテクノロジーや用語を避けるために、これを少なくとも年に一度見直して更新することをお勧めします。
1.13.3. プログラムの有効性評価
1.13.3.1 トレーニング指標
トレーニング完了率、参加者数、その他の簡単な指標など。
1.13.3.2 クイズ
クイズはトレーニングの効果を評価する効果的な方法です。
1.13.3.3 セキュリティ啓発デー
「セキュリティ啓発デー」は、匿名のアンケートを通じてセキュリティ プログラムに関する従業員の意見や提案を収集しながら、セキュリティ意識を高めることを目的としています。
1.13.3.4 内部評価
評価方法には、トレーニング後にセキュリティ インシデントまたは報告されたフィッシングの疑いのあるインシデントの数の増減を収集することが含まれます。
主要な演習
組織のセキュリティ意識向上プログラムは、テクノロジーの変化によりコンテンツが陳腐化する可能性があるという懸念があるため、このリスクを防ぐためにどのような管理を導入するかは、あなたが責任を負います。 ゲーミフィケーション B コンピュータベースのトレーニング C コンテンツのレビュー エ 研修の実施
正解:C 教科書第1巻 P76 効果評価
Froneme は、アメリカのオンライン サービス プロバイダーのセキュリティ専門家です。彼女は最近、第三者の著作権を侵害する情報を彼女のサービスに保存していた著作権所有者から苦情を受けました。フランシーヌが取るべき行動を規定する法律はどれですか? A. 著作権法 B. 子羊の法則 C. デジタル ミレニアム著作権法 D. グラム・リーチ・ブリー法
正解:C P115 著作権法とデジタルミレニアム著作権法、それぞれの法律の詳しい名称を覚えておく必要がある
現時点で質問が 1 つだけ
FyAway Travel は欧州連合 (EU) と米国にオフィスを構えており、これらのオフィス間で個人情報を頻繁に転送します。最近、EU の顧客からアカウントを停止するリクエストを受けました。 一般データ保護規則 (GDPR) に基づく個人情報の処理に関する要件で、個人が自分のデータが配布または処理されないよう要求できると規定されているのはどれですか? A. アクセス権 B. 設計によるプライバシー C. 忘れられる権利 D. データポータビリティの権利
正解:C 見つからなかった
Remee 氏は取締役会に出席し、情報セキュリティ問題について上級幹部に個人的な責任を負わせるルールであるサイバーセキュリティ管理を見直す責任について説明しています。 A. デューデリジェンスルール B.個人責任規定 C.慎重な男のルール D. 適正手続き規則
正解:C 見つからなかった 賢明な人のルールでは、上級管理者には、日常業務において適切な注意が維持されるようにする責任があります。
Zhang San は最近、同僚の CISSP 試験の準備を支援し、その過程で試験に関する機密情報を漏洩し、「倫理基準: 職業の進歩と保護」の第 4 条に違反しました。誰が Zhang San に対して倫理告発を行うことができますか? A どなたでもご持参いただけます。 B 資格またはライセンスを保有する専門家は誰でも告発することができます。 C 張三氏の雇用主のみが告発できる。 D 影響を受けた従業員のみが告訴を行うことができます。
正解:B 見つからなかった
Yolanda は金融機関の最高プライバシー責任者であり、顧客の当座預金口座に関連するプライベートおよびパブリックの要件を調査しています。この状況に適用される可能性が最も高い法則は次のうちどれですか? AGLBA法 B. SOX 法 C.HIPAA法 D.FERPA 法
正解:A 見つからなかった 賢明な人のルールでは、上級管理者には、日常業務において適切な注意が維持されるようにする責任があります。
輸出管理法や規制を引き起こす可能性が最も高いテクノロジーはどれですか? A. メモリチップ B. オフィス本番アプリケーション C ハードドライブ D暗号化ソフトウェア
正解:D P119
事業継続計画の取り組みを完了し、いずれかのリスクを受け入れることを決定したら、次に報告する必要があります。 何? A 新しいセキュリティ制御を実装して、リスク レベルを軽減します。 B 災害復旧計画を設計する。 C. ビジネスへの影響評価を再実施する。 D 意思決定プロセスを文書化します。
正解:D
組織のメディア ストレージ施設で使用されている管理のレビューを実施するときは、現在導入されている各管理を適切に分類する必要があります。次の管理カテゴリのうち、施設の周囲のフェンスを正確に説明しているものはどれですか? (該当するものをすべて選択。) A. 物理的制御 B.検出制御 C. 抑止制御 D. 予防管理
正解:ACD
次の原則のうち、特定の状況において合理的な人が期待する標準的なケアに見合った標準的なケアを個人に課すものはどれですか? A. デューデリジェンス B. 職務の分離 C. 十分な注意 D. 最低限の特権
正解:C
kelly 氏は、従業員がサイド プロジェクトにコンピューティング リソースを許可なく使用したと考えています。経営陣と 何?協議の結果、彼女は行政調査を開始することを決定した。この捜査で彼女が果たさなければならない立証責任は、 A. 証拠の優位性 B.合理的な疑いを超えて C. 間違いなく D. 基準はない
正解:D 行政調査は民事法、刑事法、行政法ではないので基準がない
Keenan Systems は最近、新しいマイクロプロセッサ製造プロセスを開発しました。同社はこの技術を他の企業にライセンス供与したいと考えているが、技術の不正使用を防ぎたいと考えている。この税務状況に最も適した知的財産保護のタイプはどれですか? A.特許 B. 営業秘密 C.著作権 D.商標
正解:A
ワイクは最近、組織に対する一般的なサイバー攻撃の防止に影響を与えた侵入防止システムを導入しました。マイクはどのような種類のリスク管理戦略を追求していますか? A. リスクの受容 B.リスク回避 C. リスクの軽減 D. リスク移転
C
カールはコンピューター犯罪を捜査する連邦捜査官です。彼は違法行為を行っている攻撃者を特定し、その個人に対して懲役刑につながる可能性のある訴訟を起こしたいと考えていました。カールはどのような証明基準を満たす必要がありますか? A.間違いなく B. 証拠の優位性 C.合理的な疑いを超えて D.証拠の優位性
C
電子取引に従事する次の組織は、自動的に HIPAA のプライバシーおよびセキュリティ要件の対象にはなりません。 医療提供者 B 健康とフィットネスのアプリ開発者 C 健康情報クリアリングハウス D健康保険プラン
B 病院、医師、保険会社、その他の組織に個人の医療情報を処理または保存することを義務付ける プログラム開発者がいない
Acme Bridges は、会計部門向けの新しいコントロールを開発しています。経営者は、悪徳会計事務所が偽のベンダーを作成し、サービスが実行されなかった場合にそのベンダーに小切手を発行する可能性があると懸念していました。このような事態を防ぐのに最も効果的なセキュリティ制御はどれでしょうか? A. 強制休暇 B. 職務の分離 C. 多層防御 D. ジョブローテーション
あ P35
データの整合性の検証、プロビジョニングのテスト、セキュリティ ポリシーの管理など、上級管理者から委任された運用上のデータ保護責任を実行する責任を通常負っているのは次の個人のうち誰ですか? A. データキーパー B. データ所有者 C.ユーザー D.監査人
あ P157
アランは電子商取引会社に勤めていますが、最近、別の Web サイトから一部のコンテンツが盗まれ、許可なく再公開されました。ポリシード型の知的財産保護は、アレンの会社の収入を保護する最善の方法です。 A.営業秘密 B. 著作権 C.商標 D.特許
B
トムは、クラウド インフラストラクチャ サービス プロバイダーのアプリケーション ファイアウォールを有効にしました。これは、さまざまな種類のアプリケーション攻撃を防ぐように設計されています。リスク管理の観点から、トムはこの対策でどの指標を削減しようとしていますか? A.影響力 B. RPO C.MTO D. 可能性
D
人事スペシャリストのベスは、従業員の解雇を支援する準備をしています。通常、解雇プロセスには含まれないものがいくつかあります。 退社インタビュー B 財産の回収 C アカウントの終了 D NCA (非競争契約) に署名する
D
Doolittle Industries の会計事務員が最近、横領計画に関与したとして逮捕されました。この従業員は軍資金を自分の個人口座に移し、その後数か月間デジタル詐欺を隠蔽するために毎日他の口座間で資金を移送した。次の制御のうち、この不正行為を事前に最もよく検出できるものはどれですか? 職務の分離 B. 最低限の特権 C 守備の深さ D 強制休暇
D
組織内の誰が事業継続計画の初期トレーニングを受ける必要がありますか? A. 上級幹部 B. 特定の事業継続の役割を担う担当者 C. 組織内の全員 D. 救急隊員
C
James は組織のリスク評価を実施しており、データ センター内のサーバーに資産価値を割り当てようとしています。組織の主な関心事は、データセンターが損傷または破壊された場合に、再建に十分な資金を確保できるようにすることです。この状況で最も適切な資産評価方法は次のうちどれですか? A. 購入費用 B. 減価償却費 C. 交換費用 D.機会費用
C
ロジャーの組織は顧客のクレジット カード記録の漏洩に見舞われました。次の組織のうち、PCIDSS の条件に基づいてこの問題を調査することを選択する組織はどれですか? A. 連邦捜査局 (FBI) B. 地元の法執行機関 Cバンク D PCI SSC
C
John は各事業部門から主要な従業員を招待し、セキュリティ意識向上プログラムを支援するよう依頼しました。彼らは、同僚とセキュリティ情報を共有し、サイバーセキュリティに関する質問に答える責任があります。この関係を最もよく表す言葉はどれですか? 安全チャンピオン B セキュリティ専門家 C. 旅行の残り D. 査読
あ
シランコは、同社 CEO のラップトップに隠されたキーロガーを発見しました。情報セキュリティ原則を損なうように設計されている可能性が最も高いキーパッドはどれですか? 機密保持 B. 完全性 C. 可用性 D. 否定する
あ
アリスは、組織が新しいクラウドベースの人事管理を評価して導入する準備を支援しています。 (HRM)) システムプロバイダー。サプライヤーの要件に最も適した最低限のセキュリティ基準は何ですか? A 法令等の遵守 B. 組織と同じ方法で情報を処理する C.特定されたセキュリティ リスクをすべて排除する D. サプライヤー独自のポリシーに準拠する
B
.HAL Systems は最近、自社の NTP サーバーが大規模な DDOS 攻撃の増幅に使用される可能性があるという懸念から、パブリック NTP サービスの提供を停止することを決定しました。 HAL は NTP サービスに対してどのような種類のリスク管理アプローチを採用していますか? A. リスクの軽減 B. リスクの受容 C. リスク移転 D.リスク回避
D リスク対応方法の一つであるリスク回避とは、対象をリスクの影響から守るための計画の変更により、リスクやリスクの発生条件を排除することを指します。リスク回避とは、リスクを完全に排除することを意味するものではありません。 リスク軽減、つまりリスク損失の制御とは、損失の確率を低減することによって損失の程度を軽減することです。リスク発生の確率を低減し、リスク発生の影響を軽減し、リスクの重大度を許容可能なレベルまで下げるための措置を採用する
組織の緊急時対応ガイドラインに含めるべき要素は次のうちどれですか? A. 通報すべき緊急要員のリスト B. 長期事業継続契約 C コールド スタンバイ サイトの編成プロセスを開始する D 機器の注文に関する連絡先
あ 緊急対応ガイド: 1. 対応手順 2. 通報を受けた者一覧(役員、BCPメンバー) 3. BCP チームの集合を待つ間の初動対応者の二次対応手順
ベッカさんは最近、災害時に会社にスペースを提供するバックアップ データ処理施設と契約を結びました。この施設には HVAC、電気および通信回路が含まれていますが、スペアパーツ機器はありません。ベッカはどのような種類の施設を使用していますか? コールドスタンバイサイト B. ウォームスタンバイサイト Cホットスタンバイサイト Dモバイルバックアップサイト
あ
グレッグの会社は最近、多くの顧客の個人データに関わる大規模なデータ侵害を経験しました。 適切な措置を確実に講じるために、どのような違反規制を検討する必要がありますか? A 本社がある州の開示規制。 B. 事業を行っている州の開示規制。 C. 連邦開示規制のみ。 D. 違反規制は政府機関にのみ適用され、民間企業には適用されません。
B
ベンは、世界的に広く受け入れられ、情報セキュリティ管理に焦点を当てた管理目標フレームワークを探しています。彼のニーズを満たすのに最も適しているのは次のフレームワークのうちどれですか? A.ITIL B. ISO 27002 CCMM D PMBOK
B CMM と RMM の混同
ISC2 の倫理規定は、すべての cissP 認定担当者に適用されます。基準にならないものは次のうちどれですか ? の 4 つの必須コードの 1 つ。 A. 社会、公益、必要な社会的信頼、インフラを保護します。 B. プライバシー、信頼、倫理の侵害の開示。 C 顧客に勤勉かつ有能なサービスを提供する。 D. 専門職を進歩させ、保護する。
B
組織は可能な限り重複したセキュリティ管理を実装する必要があると定めている情報セキュリティの原則はどれですか? A 最小特権の原則 B 職務の分離 C. 多層防御 D. 難読化によるセキュリティ
C
ライアンは、非営利団体で働く CIssP 認定サイバーセキュリティ専門家です。彼の仕事に適用される倫理的義務は次のうちどれですか? (該当するものをすべて選択) A.(SC)2の倫理規定 B. 組織の倫理規定 C. 連邦倫理規定 D. RFC 1087
AB
ベンは、データベースに保存されている支払いカード情報のセキュリティを保護する責任があります。政策により、彼はデータベースから情報を強制的に削除する必要がありましたが、運用上の理由からそれができませんでした。彼はこのポリシーの例外を取得し、リスクを軽減するための適切な補償コントロールを探しています。彼の最善の選択肢は何でしょうか? A. 保険に加入する B. データベースのコンテンツを暗号化する C. データの削除 D. 例外に反対する
B
オンライン バンキング開発者としての役割において、リサはテストとレビューのためにコードを提出する必要がありました。このプロセスを経て承認を得た後、別の従業員がコードを本番環境に移行します。この略語はどのような種類のセキュリティ管理を表しますか? A. 回帰テスト B. コードレビュー C. 変更管理 D. ファズテスト
C
通常、雇用前の審査プロセスに含まれないものは次のうちどれですか? A. 薬物検査 B. 身元調査 C. ソーシャルメディアの検閲 D.健康診断
D P34 スキルチャレンジ、薬物検査、信用調査、運転記録検査、性格検査/評価
一般的にサプライチェーンのリスクと考えられるのは次のうちどれですか? (該当するものをすべて選択。) A. 敵対者による最終顧客への配送前のハードウェアの改ざん B. 攻撃者が、Laas 環境で実行されている組織の Web サーバーを侵害する C 敵対者はソーシャル エンジニアリング攻撃を使用して、ompromisoa Saas ベンダーの従業員をターゲットにし、顧客アカウントにアクセスした D 敵対者はボットネットを使用してサービス拒否攻撃を実行する
交流