SECUAD 7/7

secuad

二週目

  • 今月中に、三回くらい繰り返したいところです。
  • やってて余り意味がないと判断したら、他の教材にシフトするのもあり。
  • セキュアドの模擬試験って、どこかでやっているのかな?

Chapter1 情報セキュリティマネジメント

  • 情報セキュリティとリスクマネジメント
    • リスクマネジメント
      • 組織がビジネス目標を達成する上での阻害要因となる不確定性から派生する損害を、その組織が許容できる水準以下に抑えるための活動。
    • 情報セキュリティは組織の目標ではない
      • 情報セキュリティ = コストセンター = 日陰者 orz
      • モチベーションの維持が重要
      • 情報セキュリティに対してリスクマネジメントの手法を適用できる。
  • 情報セキュリティマネジメント
    • PDCA: Plan, Do, Check, Act
      • JIS Q 9000で採用されたモデル
    • ISMSの確立
      • 基本方針の策定
      • リスクアセスメント
        • TR X 00036 GMITS(Guideline for the Managementt of IT Security)
      • リスク対応
      • リスク受容
  • リスクアセスメント
    • GMITSベースの考え方によると
      • ベースラインアプローチ
      • 詳細リスク分析
      • 非形式的アプローチ
      • 組み合わせアプローチ
  • 脅威
    • 人為的
      • 意図的
      • 偶発的
    • 環境的
  • リスク算定
    • リスク
      • リスク顕在化時の損害 x 発生可能性
      • 情報資産の価値 x 脅威 x 脆弱性
  • リスク対応
    • TR Q 00008に基づく
      • リスクコントロール
        • リスクの原因を取り除く
        • 脅威の発生を防止する
        • 回避、移転、低減
      • リスクファイナンス
        • リスク発生時の損害を金銭的に対応する物
        • 発生自体の低減は別物
    • リスク回避
      • リスク対応を検討した上で、リスク対応費用の割に収益が得られない場合、対応方法がない場合、事業廃止や情報資産の破棄を行うこと。
    • リスク最適化
      • リスク防止:発生を低減させる
      • リスク軽減:顕在化した際のインパクトを芸源させる
    • リスク保有
      • 識別されたリスクを意図的に保有すること
      • やりすぎても割に合わない場合など
    • リスク移転
      • 対応を外部に蒔かせる(アウトソース)
      • リスクファイナンスを元に保険とかを使う
        • 移転しなかったことによるリスク
        • 移転したことによるリスク
        • 移転したことによって生じるリスク
  • 監査
    • 種類
      • 保証型監査
        • 定義された監査要件の元で適切であると宣言する方式
      • 助言型監査
        • ギャップ検出と改善の方向性を伝える
      • 合意された手続き
    • 手続き
      1. 監査基本計画立案
      2. 監査実施計画立案
      3. 監査手続きの立案
      4. 監査調書の作成と助言
    • 報告書
      • 書くこと
        • 導入区分:taisaku
        • 概要区分:内容
        • 意見区分:保証意見、助言意見
        • 突起区分:何かあれば
      • 保証型の場合
        • 肯定意見
        • 限定付き肯定意見
        • 否定意見