概要:
あなたは自身の会社のセキュリティを任された。リソースは限られており、上層部は非常に複雑な問題を解決し、成果を目の当たりにすることを期待している。さてあなたはどこから着手するか?
まったくの白紙状態から始めるにしろ、既存の枠組みを利用するにしろ、または自社にとって情報セキュリティプログラムというのが何を意味するのかを調査することから始めるにしろ、包括的な情報セキュリティプログラムを作り上げることは気が遠くなるような作業となりうる。
- 組織を細分化する際に、いかに意味がある、かつ管理可能であるように分けるか。
- 限られたリソースと努力をどこに集中的に振り分けるか。
- 他に格差を残すことなく細部まで掘り下げるにはどうすればよいか。
- 適切かつ意義のある情報を提供するような監査を開発するにはどうすればよいか。
- 何千もあるポリシー、ガイドライン、手順、基準、制御のどれが実際に必要なのか、またいかにして社員にそれらを受け入れ、従わさせるか。
- どの対策が実際にニーズに沿っているかをいかにして見定めるか、またそれらの対策が互いに調和するかどうかをどうやって確認するか。
- プログラム実施後、いかにすべてを管理するか。
- おそらくもっとも重要なポイントととして、社内のビジネスサイドにいかに自分の全努力をサポートさせるように仕向け、そうしたサポートを現在進行中や将来のイニシアチブにもとりつけるか。
この講座は、組織全体のセキュリティを確保するための実践的なアプローチを段階ごとに提供することで、上記の疑問に答えることを目指す。
本講座で学ぶこと:
2日間を通じて受講者は下記の知識を得る。
ビジネスを理解する
- 自身の会社を理解することがいかにあなたの努力に優先順位をつけ、方向性を定めるために役立つか。
- 何があなたの会社を価値あるものとするかをいかにして見極め、そのような価値を実現するために必要なシステムやプロセスをいかに見定めるか。
- リスク分析を行ううえで考慮に入れられるべき、あなたの企業のその他の側面、例えば法的な位置づけ、ビジネスモデル、業種、企業文化、ビジネス慣行など。
境界線の決定
- リスク分析に「範囲」を設定する手段として、ストレージや情報の流れをいかに特定し、利用するか。
- 「現実」と「仮想」の境界線をいかに特定するか。
- 「従来型」と「ネット上」のビジネス世界の間にある差異を理解する。
- 情報システムのみならず、自社のビジネス慣行の境界線と関係への影響を理解する。
企業内での援助
- 重役や上級管理職のサポートがいかにあなたの情報セキュリティプログラムの成功に不可欠なものであるか。
- 何をやろうとしているのか、なぜそれをやろうとしているのか、それを成功させるためにどのような役割を担ってもらいたいのかということを、重役や上級管理職にどのように伝えるか。
- 自社内での理解とサポートをいかにして深めるか。
- サポートを一度得たらばその後いかにそれを維持するか。
監査
- 監査がいかにリスク分析の基礎をなすか。
- 関連性の高い監査を設計するために、どのようにしてアタックマップを活用するか。
- 特定の分野を監査する際にはどの程度掘り下げる必要かあるか。
- どのような時に、またいかにして、第三者による監査を効果的に利用するか。
対抗策
- 意味のある対抗策の評価、設計、開発、実施の基礎として、リスク対策をどのように活用するか。
- ポリシー、ガイドライン、手順、基準、制御をどのように開発し、効果的な対抗策の基礎をなすように活用するにはどうするか。
- 深層防御を提供するひとつの手段として、異なる対抗策の役割を評価する。
- 対抗策を成功裡に実施する。
モニタリングと再検討
- モニタリングと再検討の重要性。
- モニタリングと再検討に対するアプローチ。
- 成功度合いを測る手段、また継続的な改善の基礎としてモニタリングと再検討をいかに活用するか。
- 継続的なサポートを確保するにあたってのモニタリングと再検討の重要性。
|