fc2ブログ

PMP勉強ノート:立ち上げプロセス群

この記事はPMPの試験範囲に関する内容について、一般的な情報に基づき勉強したものをまとめた個人的な覚書です。PMPの具体的な試験内容を表すものではなく、また正確性が保証されているものでもないことをご了承ください。

立ち上げプロセス群
・プロジェクト統合マネジメント
  ・プロジェクト憲章作成
    ・プロジェクトまたはフェーズを公式に認可する文書を作成
    ・ステークホルダーのニーズと期待を満足させる初期の要求事項を文書化
    ・プロジェクトマネージャーがプロジェクト憲章作成
    ・プロジェクトマネージャーの決定と任命はできるだけ早く
    ・イニシエーターがプロジェクト憲章にサインをするとプロジェクトは認可
    ・インプット
      ・プロジェクト作業範囲記述書
        ・ビジネスニーズ
        ・成果物スコープ記述書
        ・戦略計画
      ・ビジネスケース
      ・契約
      ・組織体の環境要因
      ・組織体のプロセス資産
    ・ツールと技法
      ・専門家の判断
    ・アウトプット
      ・プロジェクト憲章
        ・目的、妥当性、関連する成功基準
        ・ハイレベルのプロジェクト記述
        ・ハイレベルのリスク
        ・マイルストーン、透け従ウール
        ・予算
        ・プロジェクト承認要件
        ・プロジェクトマネージャー
        ・責任と権限
        ・スポンサー
・プロジェクトコミュニケーションマネジメント
  ・ステークホルダー特定
    ・ステークホルダーの特定と、利害、関与、影響に関する情報を文書化
    ・インプット
      ・プロジェクト憲章
      ・調達文書
        ・契約に基づく場合契約当事者が主要なステークホルダーになるため
      ・組織体の環境要因
      ・組織体のプロセス資産
    ・ツールと技法
      ・ステークホルダーの分析
        ・バランスが大事
        ・ステークホルダーの役割、部門、利害、知識レベル、期待、影響等
        ・ステークホルダーの分類
        ・ステークホルダーの反応、対応の評価
      ・専門家の判断
    ・アウトプット
      ・ステークホルダー登録簿
        ・リスト
        ・識別情報
        ・評価情報
        ・ステークホルダー分類
      ・ステークホルダーマネジメント戦略
        ・リストに対してどうするかの戦略
        ・ステークホルダーからの支援を増大させ、マイナスの影響を最小化する取り組み
        ・利害や態度なども記述される
        ・複数の人が共有するのに適さない内容もある      
・プロジェクト、プロジェクトのフェーズを開始する認可を得る
・ステークホルダーが参加することが重要
  ・共有意識を高める
  ・要素成果物の受け入れが容易になる
  ・KickOffミーティング
スポンサーサイト



THEME:仕事日記 | GENRE:就職・お仕事 |

ISACA - CPEの登録

2011年にCISAの資格を取得したのですが、先日2012年分のCPEの入力に関する督促が届きました。
資格を取得した年の分の活動は2012年に繰り越せるため初めての入力です。

参考:
https://www.isaca-nagoya.org/?q=node/142
http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/Maintain-Your-CISA.aspx

For newly certified CISAs, the annual and three-year certification period begins on 1 January of the year succeeding certification. Reporting CPE hours attained during the year of certification is not required. However, hours attained between the date of certification and 31 December of that year can be used and reported as hours earned in the initial reporting period.


正直自分はこれまで全くCPEの入力をしていなかったのですが、、皆さんこれはコツコツ入力しておいた方が楽です。やってみればISACAのサイトはよくできていまして入力にはそう苦労しません。

1.ISACAのサイトでログイン
http://www.isaca.org

2.My Certifications からManage My CPEをクリック

3.ADD CPEで入力

CPEのカウントの仕方についてはこちらにでています。
http://www.isaca.gr.jp/cisa/cpe.pdf

例としては以下のようなものになると思います。

ISACAの月例会議:ISACA Professional education activityで入力すればよいと思います。2CPEですね。

関連する専門試験の合格:Passing related professional examination 自分はCISSPに受かったので6時間つけることができました。

あとISACAの活動のお手伝いなんかをしていると結構な時間分のCPEが付けられると思います。

1年あたりの最低CPEが20で3年間でトータル120CPEが必要です。
実質一年40CPE。
月例会議は2CPEなので全部出席しても24CPEにしかなりませんね。
資格取得の初年度分は繰り越し分があるため楽ですが、こつこつ稼いでいかないとなかなかに厳しい数字です。

ただ考えようによってはこうした継続学習の動機付けがあるのがCISA等の良い点ではあります。
資格を取ったら取りっぱなしではないというのは筋としては通っていると思います。

自分もこつこつ日々勉強ですね。
THEME:仕事日記 | GENRE:就職・お仕事 |

PMPをうけることに・・・

今年はCISMとか言っていたらPMPまで受けることになりました。。
しかも仕事忙しいし。
しかも7月でPMPの内容が変わるらしいし・・・。

https://www.pmi-japan.org/news/pm_license/2012_12_06_pmp_exam_update.php

色々と楽になりませんね。
THEME:仕事日記 | GENRE:就職・お仕事 |

PMP勉強ノート:プロジェクトとは何か

この記事はPMPの試験範囲に関する内容について、一般的な情報に基づき勉強したものをまとめた個人的な覚書です。PMPの具体的な試験内容を表すものではなく、また正確性が保証されているものでもないことをご了承ください。

プロジェクト
・有期的
・始まりと終わり
・ステークホルダーからの目的・目標の達成
・もしくは未達による終了
・今までにないプロダクトやサービス、所産を生み出す。有形、無形。
・独自性がある
・承認には戦略的事項の考慮が必要
・戦略がプロジェクトへの投資判断の基準

定常業務 Operation
・継続的
・反復的
・終了日がない
・プロジェクトと定常業務の接点において要素成果物と関連智識の移管を行う

プロジェクトに業務部門のメンバーを入れた方が効率的になることも

共通点
・人が実施
・制約がある
・計画・実行・監視・コントロールの対象


段階的詳細化
・プロジェクトが進行するにつれ情報量が増え、確度が増す


ステークホルダー
・プロジェクトに積極的に関与
・利害関係を持つ組織
・作業に関わる
・所産として得るものや失うものがある
・顧客、コントラクター、サプライヤー、PM、チームメンバーetc
・重要なステークホルダーの見落としは致命的。プロジェクトが進行してからの間違いが出ることも
・ステークホルダー同士の利害が対立した時に、それを解消するのはPMの責任
・プロジェクトの早い段階でステークホルダーを特定、ニーズと制約条件を把握すること
・一次ステークホルダー・・・直接的に利害関係がある
・二次ステークホルダー・・・直接的に利害はないが影響を受ける



プロジェクトスポンサー
・多くの場合組織の重役
・ステークホルダーの一人
・意思決定者
・エスカレーションの受け手


プロジェクトマネジメント
・優れた成果を挙げプロジェクトの要求事項を満たすためにツールと技法、スキル、知識をプロジェクトアクティビティに適用する
・要求事項の特定
・ステークホルダーのニーズ、関心、期待に取り組む
・競合する制約条件のバランスを取る
・アクティビティを記述し体系化や監視を行う
・5つのプロセス群に42のプロジェクトマネジメントプロセス
  ・立ち上げ
  ・計画
  ・実行
  ・監視・コントロール
  ・終結
・スコープ、スケジュール、コスト、品質、リスク、資産の管理
・プロジェクト計画はプロジェクトのライフサイクルを通して反復的で、段階的に詳細化される

ポートフォリオ
・関連するプログラム、プロジェクトの集合
・シニアマネジメントレベル
・戦略的なビジネス・経営の支援
・ポートフォリオマネジメント
  ・1つ以上のポートフォリオを一元化してマネジメント
  ・プログラム、プロジェクト、関連業務を精査し、ポートフォリオを最大限にする
  ・一貫性を保つ

プログラム
・ポートフォリオの実現
・関連するプロジェクトの取りまとめ
・複数のプロジェクトが存在
・個別プロジェクトマネジメントでは得られない成果とコントロール
・プログラムマネジメント
  ・調和を保って一元的にプログラムをマネジメント
  ・プロジェクトの相互依存に焦点を当ててマネジメント
 
プロジェクトマネジメントオフィス(PMO)
・管轄下にあるプロジェクトを一元的にマネジメント
・制約条件の調整役
  ・コスト
  ・スケジュール
  ・リソース
・プロジェクトマネージャーを支援
  ・共有資源のマネジメント(リソースプール)
  ・標準の特定と開発
  ・コーチング、トレーニング等
  ・プロジェクト監査
  ・コミュニケーションの調整
  ・テンプレートなどの作成


プロジェクトマネージャー
・プロジェクトプロセスをマネジメントする
・プロジェクトの目標達成の責任
・母体組織が任命
・プロジェクトアクティビティの実行に使用されるツールと技法を適用する
  ・特定分野のスキルを持つ
  ・マネジメント能力
  ・知識
  ・執行能力
  ・人間性
・スキル
  ・組織化スキル、計画性スキル
  ・予算化スキル
  ・コンフリクトマネジメントスキル
  ・交渉力、影響力
  ・リーダーシップ
  ・チーム形成スキル


PMBOK
・プロジェクトマネジメント知識体系
・プロセス、ツール、技法が記述されている
・全部をカバーしているものではない
・単一プロジェクトが対象
・プログラムやポートフォリオはカバーしない


組織体の環境要因
・プロジェクトを取り巻く内部・外部の環境要因
  ・文化・体制・プロセス
  ・国家規格、業界標準
  ・全般的なインフラストラクチャー
  ・人的資源
  ・作業認可システム・承認システム
    ・プロジェクト内の最終判断はPM
    ・Managementとは相談はするがプロジェクト内では最後は自分で決める
  ・コンプライアンス
    ・人命優先
  ・商用データベース
    ・コスト見積もりデータ。建築業界とか。
  ・人事管理
  ・プロジェクトマネジメント情報システム


組織構造の理解
・機能型
  ・一般的
  ・機能により組織が分かれている
  ・ラインマネージャーの力が強い
  ・プロジェクトマネージャーの影響弱い
  ・利用可能な資源が少ない
  ・階層構造・明確な命令系統
  ・分離型手法によるプロジェクトマネジメント
    ・専門分野に分かれたプロジェクト
・マトリックス型
  ・機能型とプロジェクト型の中間
  ・弱いマトリックス→機能型
  ・強いマトリックス→プロジェクト型
  ・ラインマネージャーとプロジェクトマネージャーによる管理  
・プロジェクト型
  ・活動の中心はプロジェクト
  ・プロジェクトマネージャーの下にチームスタッフが集められる
  ・プロジェクトマネージャーの権限が強い
  ・コロケーションが行われる。同じところに集められる
  ・プロジェクトの終了で解散
  ・プロジェクト終了時にメンバーの仕事がなくなるので、資源の有効利用が行われないことも

組織のプロセス資産
・プロセスと手順
  ・公式・非公式に関わらない
  ・計画書、方針書、手順書、ガイドライン
  ・作業手順書、コミュニケーション要求事項、テンプレート、変更管理手順
・企業の知識ベース
  ・教訓
  ・過去の情報
  ・プロジェクトファイル
  ・情報のデータベース
・Inputとして使われることが多い

プロジェクトライフサイクル
・プロジェクトは複数のフェーズに分割できる
・フェーズ
  ・要求定義フェーズ
  ・設計フェーズetc
・プロジェクトが経由する一連のフェーズの集合がプロジェクトライフサイクル
・ライフサイクルはマネジメントする基本的な枠組みを提供
・ライフサイクルの構成(4つのプロジェクトライフサイクル)
  ・プロジェクトの開始
  ・組織編制と準備
  ・作業実施
  ・プロジェクトの終結
・プロジェクト
  ・論理的に分割→プロジェクトフェーズ(設計フェーズとか)
  ・フェーズ
    ・プロジェクトマネジメントプロセス群を含有
      ・立ち上げ
      ・計画
      ・実行
      ・終結
      ・監視・コントロール
    ・5つのプロセス群を繰り替えすことでコントロールの水準を上げる
    ・フェーズの終結は要素成果物として移管またが引渡しがある
    ・フェーズの終結はフェーズの出口、マイルストーン、フェーズゲート、ステージゲート、中止点
    ・フェーズにより異なる組織体制とスキルセットを必要とすることが多い
    ・フェーズとプロジェクトマネジメントプロセス群とは異なる
    ・順を追って完了することも重複することもある
      ・直列関係・・・直前のフェーズが完了しないと次のフェーズを開始できない
      ・重複関係・・・先行フェーズの完了前に後続フェーズが開始される
      ・反復関係・・・一つの時点で計画するのは1フェーズだけに限定し、現行のフェーズ及び要素成果物の生成が進展しているときに次フェーズを計画
・コストや要員数
  ・プロジェクト開始時には少ない
  ・作業を実行するにつれて頂点に
  ・終了に近づくと急激に減少
・ステークホルダーの影響力・リスク・不確実性はプロジェクト開始時に最大
・変更やエラーの訂正にかかるコスト
  ・プロジェクト開始時には小さい
  ・完了に近づくにつれ大幅に増加


プロダクトライフサイクル
・プロジェクトサイクルを含む
・多くの局面をプロジェクトとして実施

プロジェクトのガバナンス
・プロジェクトを包括的かつ一貫した手法でコントロール
・ガバナンスへの取り組みはプロジェクトマネジメント計画書に記載
・プログラムやスポンサーの組織のありようと整合性を保つ
・ガバナンスによりフェーズ終了時に次のフェーズに入るか判断し、コスト効率よく誤りを発見し是正する


プロジェクト成功のために
・プロジェクト目標を達成するために必要とされるプロセスを選ぶ
・要求事項を満たすために採用できる定義されたアプローチを用いる
・ステークホルダーのニーズと期待に応じた要求事項を満たす
・スコープ、スケジュール、コスト、品質、資源、リスク等競合するバランスを取って指定されたプロダクト、サービス、所産を生成する

プロジェクトのプロセス
・プロジェクトマネジメントプロセス
・成果物指向プロセス
  ・成果物の仕様を決め、それを具現化する

PMBOKで述べられている知識、スキル、プロセスを全てのプロジェクトに画一的に適用すべきであるわけではない

テーラリング
・どのプロセスが適切か
・どの程度の厳密さで実施すべきか

相互作用
・あるプロセスのアクションが他の関連するプロセスに影響を及ぼす

プロジェクトマネジメントプロセス群
・反復的な適用
・多くのプロセスが繰り返し実行
・アウトプットによって互いに結び付く
・プロジェクトマネジメント計画書・プロジェクト文書の更新
THEME:就職・転職・起業 | GENRE:就職・お仕事 |

今年はCISM

以前次はCISSPということを言っていましたが無事昨年取得できましたので、今年はCISMも取ろうかと思ってます。
最近載せている勉強ノートはそのためのまとめです。
CISA、CISSPの時の勉強と、ISACAからのレビューマニュアル、サンプル問題集でどうにかなるんじゃないかなぁ、と考えているのですが。。
うまくいくといいなぁ。

CISSPの時の勉強ノートは、順次まとめて行こうと思います。
THEME:仕事日記 | GENRE:就職・お仕事 |

CISM勉強ノート:情報セキュリティインシデント管理

この記事はCISMの試験範囲に関する内容について、一般的な情報に基づき勉強したものをまとめた個人的な覚書です。CISMの具体的な試験内容を表すものではなく、また正確性が保証されているものでもないことをご了承ください。

インシデント管理の目的
・受け入れ可能な中断時間の範囲内で復旧を可能にできるようインシデントを取り扱う
・過去のインシデントの教訓の文書化及び再発防止
・インシデントの発生可能性の防止・最小化


インシデント管理の評価尺度と指標
・報告されたインシデントの総数
・検知されたインシデントの総数
・インシデント対応の平均時間
・インシデント解決の平均時間
・解決に成功したインシデントの総数
・実施された事前の防止手段
・啓蒙トレーニングを受けた従業員の総数
・インシデント対応がなければ生じたであろう総損害額
・インシデント対応した結果の総節約額

インシデント管理の戦略的整合
・利害関係者の把握と支援
・インシデント管理能力を開発・維持・提供することにより組織をインシデントから守る
・ステークホルダーに対してITリスク及びコンピューターインシデントが効率的に対処される
・財政的支援
・経営者の賛同


インシデント管理による価値の提供
・ビジネスプロセスとの統合
・利害関係者に保証を与えるビジネス能力の改善
・BCPと統合
・最適なリスク管理活動
・ビジネス機能及び資産を保護、保守


インシデント発生時
・インシデントの確認・検証 (上級経営者や関係機関への報告の前に基本的な検証が必要)
・速やかな報告が大事(報告手続きに添った)エスカレーションプロセス
・詳細なインパクトの判定
・インシデントの隔離
・インパクトの最小化
・効率的な復旧
・原因の究明
・再発防止、改善

Handling of Incident
・準備
・Preparation
・Protection
・識別
・Identify the problem
・Triage Priority
・封じ込め
・Coordinate the response
・Mitigate the damage
・根絶
・Investigate the root cause or culprit
・復旧
・RPOで規定された状態にRTO内に戻す
・教訓
・Educate team members about avoiding future problem

・可能な限りのビジネスプロセスの継続が大事
・事後レビューは教訓を通じて対応プロセスを改善する
・現地の法・規制に沿った行動を
・事後レビューには独立性や客観性の観点から外部チームによるレビューを行うことも
・インシデントが発生しておらず、単に脆弱性の発見だった場合にはデーターオーナー、システムオーナーに通知し対応の検討
・基本的にサービス復旧が大事だが、ケースにより根本原因の調査・解明のための問題管理と衝突することがある。早急なサービス復旧が常に最善とは限らない。
・業務とセキュリティプロセスのバランス
・上級経営者の関与が重要


インシデント管理により確かになること
・情報誌さんが適切に保護されている
・リスクが受け入れ可能な範囲内である
・効果的なインシデント計画の実施
・利害関係者の理解
・インシデントが識別され、受け入れ可能な中断時間内で復旧可能
・利害関係者及び外部当事者に対するコミュニケーションの管理
・学んだ教訓より改善
・文書化、共有


インシデントの発見は従業員の啓蒙活動から


インシデント対応計画のためのBIA
・重要度の優先付け
・停止時間の見積もり
・資源の要件
・評価
・評価材料の収集
・収集された情報の分析
・経時ロスのエスカレーションの確立
・復旧に必要な最小限の資源の識別
・プロセス及びサポートシステム復旧の優先順位付け
・結果の文書化と勧告の提出


Incident Response Team
・集中型・・・単一のIRTによる。小規模組織、もしくは中央。
・分散型・・・複数のチームがそれぞれの担当を行う。大規模組織または地理的に分散。
・調整型・・・中央のチームが分散したIRTを率いる
・外部委託型・・・完全もしくは部分的に外部委託

・連絡を取る外部機関やリソースのリスト
・連絡を取るコンピューターフォレンジック専門家のリスト
・証拠を安全に保管する手順
・証拠を探す手順
・報告に含めるアイテムのリスト
・同様の状況で他のシステムをどのように扱うか示すリスト
・エスカレーション基準
・重大性の基準を含む


情報セキュリティマネージャーの役割
・SSG Security Steering Groupが最終的な承認
・インシデント管理及び対応計画の策定
・インシデント対応活動の取り扱い・調整
・解決策の確認、検証、及び報告
・インシデント管理に関する計画、予算編成、プログラム開発


Computer Forensics
攻撃されたシステムの信頼できるイメージの取得。コピーで調査。電源を切る前に取得。
分析過程の管理 Chain of custody。証拠を収集し整理する際の手順


Chain of evidence
分析過程の管理(Chain of custody): 証拠を収集し整理する際には, 非常に厳格できちんとした手順に従わなければならない.
Who, When, Where, What and How
Location
Time
who discovered
who secured evidence
who controled evidence
who maintained evidence

Evidence Life cycle
・Discovery and recognition
・Protection
・Recording
・Collection
・Identification - tagging and marking
・Preservation
 ・Protect magnetic media from erasure
 ・Store in a proper environment
・Transportation
・Presentation in a court of law
・Return of evidence to owner

Evidence Admissibility
・Relevant
・Sufficient
・Legally permissive
 ・Obtained in a lawful manner
・Reliable
・Identified
 ・Labeling printouts with permanent markers
 ・OS, HW etc
 ・Serial NUmber
 ・Marking evidence without damaging it
・Preserved
 ・Do not remove power
 ・Backup hard disk image
 ・handling magnetic media
 ・dust and smoke free
 ・temperature and humidity
 ・write protect media
 ・one way hash
 ・digital signature

Type of evidence
・Best - original。一次的証拠
・Secondary - copy or oral description。信頼性や強さでやや劣る。
・ Direct evidence - Proves or disproves a specific act through oral testimony. Evidence provided by witness.バックアップ情報を参照せずにそれだけで事実を証明。
・Conclusive evidence - Incontrovertible。決定的証拠。反駁や否定できない証拠。
・opinion evidence - 意見証拠。目撃者が証言するときに意見ルールによって事実のみを言うように定められている
 ・Expert - based on personal expertise and facts
 ・Nonexpert - can testify only as facts
・Circumstantial evidence - 状況証拠。中間事実を証明。他の事実の類推に使われる。
・Corroborative evidence - 補強証拠。考えやポイントを証明する助けとなる。それ自体では役に立たない。
・Hearsay evidence - third party。伝聞証拠。法廷での口頭もしくは書面の証拠に関しては、また聞きで会ったり正確性に欠けるものもある。

4 Type of evidence
・Direct
・Real
・Documentary
・Demonstrative


業務継続計画の作成
・システム停止がもたらす日常業務の増分コストを最初に決定
・業務の洗い出しとビジネスインパクトによる金銭的な優先度範囲の決定が大事


Mutual Aid Agreement = Reciprocal Site
・最もリスクの高い契約
・自分勝手には使えない
・災害復旧の相互援助協定により派生する最大のリスク
・ハードとソフトの互換性が持てなくなる
・契約に含めるべき
 ・必要な時に資源を使えるか
 ・セキュリティ基盤が異ならないか
 ・共同使用に関する優先権

Subscription Service - 冗長IPF Information processing facility
・コールド - ノンクリティカル
 ・スペース 基本的インフラ
 ・通信機器 情報機器の入手 インストールが必要
・ウォーム - センシティブ
 ・スペース 基本的インフラ ITや通信機器の一部あるいは全て
 ・足りないコンピューター設備の調・達が必要
・ホット - バイタル
 ・スペース 基本的インフラ 全てのIT・通信機器 オフィス設備
・モバイル 移動可能な車両に設置されたパッケージ化されたモジュラー型処理施設
・Rolling hot site tractor-trailer rigs or portablebuildings
・ミラーサイト 連続的な稼動及び可用性

HVAC - Heating, Ventilation, and Air Conditioning


代替サイトの条件
・離れた距離
・十分なセキュリティ
・サイトのハードウェア構成は同じでなくてよい
・現行の本番業務を実施できることを確認するためのレビューは必要
・バックアップデータ使えることの保証 データが最も大事
・互換性の保証のための邸規定なテスト
・利用可能期間は十分か
・ハードウェアのテストは導入時には必要 その後も定期的にデータが使えるか定期的にテストすることが望ましい

DRサイトのチェック
・地理的条件
・同時にそのサイトを利用できる契約者数
・十分な時間使用できるか
・バックアップデータの確保
・メインサイトの作業の把握


ハニーポット
・おとりファイル
・検知、モニタリングにはこれ


BCP
process of making the plans that will ensure that critical business functions can withstand a variety of emergencies.
strategies to minimize the effect of disturbances and to allow for the resumption of buisness process
reduce the risk of financial loss and enhance a company's capability to recover from a disruptive event promptly

PEOPLE FIRST


BCP Flow
プロジェクト計画→リスク評価→BIA→BCP戦略 DRP戦略→BCP策定→education documentation→テスト(手順書や準備が必要だから最後)→結果のレビュー BCPの評価


4 Prime Elements of BCP
・Scope and Plan Initiation
 ・First Step
 ・project parameter definition
・Business Impact Assesment
 ・Financial (Quantitive)
 ・Operational (Qualitive)
 ・Valunerability assessment
 ・Critical Prioritization
 ・Downtime estimation - Maximum Tolerable Downtime (MTD)
 ・Resource requirement
・Business Continuity Plan Development
 ・Defining the continuity strategy
 ・Documenting the continuity strategy
・Plan Approval and Implementation
 ・Senior Management Sign Off
 ・Creating an awareness of the plan enterprise-wide
 ・Maintenance of the plan including updating when needed


MTD Maximum Tolerable Downtime
・Critical minutes to hours
・Urgent 24hours
・Important 72 hours
・Normal seven days


Roles and Responsibilities
・The BCP Comittee
 ・Senior managements
 ・Business units
 ・information systems
 ・security administration
・Senior Management
 ・Identify and prioritize time critical systems that are of great importance to an organization
 ・Initiating the project


BIA
・DRP策定の最初に実施 全ての理由になる
・経営上層部の指示 情報資産の重要度の決定にも必要
・IT、エンドユーザーの幅広い関与
・業務プロセスの重要性 優先順位の識別
・組織の重要業務プロセスの継続に影響を与える可能性のある構成要素の洗い出し
・構成要素のダウンタイムの影響評価
 ・財務上の値が用いられる場合も
・アンケート インタビュー エンドユーザーの関与
・情報資産に関するクリティカルな復旧時間
 ・ダウンタイムコスト 時間がかかるほど増える
 ・復旧コスト 時間をかけていいほど減る
・代替サイトの場所もBIAによる

・業務プロセスの識別を重要性の評価
・重要業務プロセスに関係する重要情報資産の識別
・情報資産に関するクリティカルな復旧時間


・中断時間費用 だんだん増える
・再開費用 時間をかけてよいなら安くなる
・復旧費用 時間をかけてよいなら安くなる

BIAでみつけるのは、、
組織の存続を保証するために復旧しなければならないビジネスプロセス
必ずしも財務的に価値が高いものではない


Steps of BIA
・Gathering Assessment Materials
・Performing the vulnerability assessment
 ・quantitative
  ・financial loss
  ・additional operational expenses
 ・qualitative
  ・loss of comletitive advantage or market share
  ・loss of public confidence or credibility
 ・Critical Support Area
  ・Telecommunications, data communications or information technology
  ・Physical Infrastructure or plant facility
 ・Accounting, payroll, transaction processing
・Analyzing the information compiled
・Documenting the results and presenting recommendations


Three GOALs of BIA
・Criticality prioritization
・Downtime estimation
・resource requirement


費用対効果分析
・BIA
 ・アンケート
 ・インタビュー
 ・過去のトランザクション
 ・重要なプロセスの評価 リスク
・H/W、S/Wの購入費用
 ・メンテナンスコスト
 ・利益 損益 RTP
 ・リスク

バランススコアカード
・IT機能及びプロセスを評価→ITと業務の整合を目指すのに役立つ→IT資産への投資計画、管理
 ・顧客満足
 ・オペレーションプロセス
 ・イノベーション
 ・従来の財務をチェックすればOK
 ・評価の指標が大事


復旧目標の指標
・MTO Maximum Tolerable Outage - the maximum amount of time the organization can provide services at the alternative site
・SLO Service Level Objective - the level of service provided by alternate processes while primary processing is offline
・MTD Maximum Tolerable Downtime - the longest time that an organization can survive without a critical function
・RTO Recovery Time Objectives - the maximum elapsed time to recover an application at an alternate site
・RPO Recovery Point Objective - How current the data must be or how much data an organization can afford to lose


Classifying Processes
・Core Process - produce revenue
・Supporting Process - require only minimum BCP services
・Discretionary Process - nonessential


Classifying Critical Systems
・Critical - 同一のシステムぬ置き換えなければ実行不可能 中断に対する許容度は低く コストも高い
・Vital - 短期間であれば手作業で実行可能
・Sensitive - 許容できるコスト範囲で長期間に置いて手作業で実施可能
・Non Critical - より長い期間中断できる 復旧コストも安い


BCP/DRPともRTOを守れることが目標

テスト済みのBCP/DRPは業務リスクが効果的に管理されている証拠


DRP
making preparations for disaster but also address the procedures to be followed during and after loss
provide the capability to implement critical processes at an alternate site and return to the primary site and normal processing within a time frame that minimizes the loss to the organization, by executing rapid recovery procedures.


DRPで大切なこと
・経営者の承認 正しさ
・実際のテスト 維持管理 有効性 整備状況の証拠になる 効果的にする
・復旧管理者の関与 ローテーション 正当性
・定期的なレビュー 維持管理
・利用部門の関与 正当性
・経営者の承認・積極的な参画
・テスト後はデータの消去
・復旧基準の明確化は必須
・マニュアルは敷地街のも保管。ガイド・マニュアルへのアクセスは死守


The DRP Process
・Data Processing Continuity Planning - Planning for the disaster and creating the plans to copy with it
 ・Mutual aid agreement = reciprocal agreement
 ・Subscription service
  ・Hot Site
  ・Warm Site
  ・Cold Site
 ・Multiple Centers = Dual Sites 処理が複数のサイトに分散。利用可能なリソースを共有。ただし大きな災害では複数サイトの許容量を超えることも。
 ・Service Bureaus 代替バックアッププロセスサービスの全てを提供してもらうことをサービスビューロと契約。
 ・Other data center backup alternatives
  ・Rolling/Mobile Backup Site
  ・In-House or external supply of hardware replacement
  ・Prefabricated Building
・Data Recovery Plan Maintenance - Keeping the plans up to date and relevant



Transaction Redundancy Implementation
・Database Shadowing - シャドーファイル処理 完全に二重化されたファイルが同じサイトもしくは遠隔地のサイトで維持される。リモートジャーナリングのライブ処理使用。
・Electric Vaulting - 電子倉庫 電子的に直接アクセス記憶装置、光ディスクもしくは他の記憶媒体に転送する。バッチ処理
・Remote Journaling - 並行処理 遠隔地に並行処理で転送。データが生じるたびにリアルタイムのデータが送信


GFS Tape Lotation
・Grandfather Father and Son
・Monthly backup - Weekly Full backup - Daily incremental backup

Tower of Hanoi

DRP Test
・Checklist Test - 計画のコピーがマネジメントにレビューのために配布される
・机上テスト - 連携関係 関連メンバーの参加必要
・Structured Walk-through test - 少ない労力 よく知ってもらう Overview 理解の促進 ペーパーテスト updateのチェックにいい ビジネスユニットのマネジメントが計画のレビューのために集まる
・Simuration Test - 準備テスト  全体環境のシュミレーション シナリオの理解 費用対効果高い 有効性を判定
・準備完了テスト - フルテストの限定版 シミュレーション 有効性評価
・Parallel Test - 重要なシステムが代替サイトで実行される
・Full Interruption Test - 通常の生産が中断され, 実際の災害復旧プロセスが行われる.


徐々に難易度を上げるテストケース
・計画に関する机上でのwalk through
・模擬の災害シナリオを用いた机上でのwalk through
・復旧計画に関するインフラと通信コンポーネントのテスト
・インフラと重要アプリケーションの復旧テスト
・インフラ、重要アプリ、ユーザー参加のテスト
・完全な復元テスト
・抜き打ちテスト


テスト結果の検証
・BCPの完全性と明確性
・要員の遂行能力
・要員の訓練と認知に関して評価
・外部ベンダーとの連携
・バックアップサイトの能力と容量
・記録能力
・復旧サイトの機器や備品
・パフォーマンス測定

頻度
・少なくとも年に一度はテストの実施
・重大な変化があれば都度更新
・要因に関するリストの変更は四半期に一度は改定


・インシデント対応チーム インシデント情報を受け取るチーム
・オフサイトストレージチーム 復旧設備で使用するストレージの取得 発送
・輸送チーム 従業員の復旧サイトへの移動
・通信チーム ネットワークの確立
・復旧チーム 回復チーム 移転プロジェクトの管理 被害の詳細な評価
・移転チーム 再配置チーム 本来の施設への移行
・緊急時アクションチーム 火災あるいはその他の緊急対応シナリオに対処するため 防火責任者及びバケットクルー
・損害評価チーム 
・緊急時管理チーム 復旧チームの活動を調整
・セキュリティチーム 緊急時におけるセキュリティ保持


可用性
・耐障害ハードウェア 継続的で中断しないサービス フォールトトレラント ノンストップサーバー
・ロードバランス 複数のサーバー間での作業の分割
・高可用性コンピューティング 迅速だが継続的でない回復 HAクラスター


Routing Traffics
・地域通信ループ local loop 
加入者宅と最寄りの電話局を接続している電話回線のこと。大手電話会社が引き込む場合がほとんどで、従来はローカルループを利用したサービスの提供は引き込みを行なった電話会社しか利用できなかった。しかし、現在ではローカルループ設備の開放が進み、別の事業者が従来の電話サービスと併用できる形でADSLなどの通信サービスを提供できるようになりつつある。

・ラストマイル回線
ラストワンマイルとは、家庭や企業のユーザーに通信のための接続を提供する最終工程であり、一般には通信事業者の最寄の加入者局からユーザの建物までのネットワーク接続のための手段を指す。通常、有線・無線の別は問わない。現在ではもっぱら、インターネット接続の最終行程を指すようになった。また、ケーブルテレビなど有線放送系においても同様である。

・diverse routing
別ルーティング 代替機経由へのルーティング dupulicate or split cable 分かれているイメージ

・alternative routing
代替ルーティング 経路の冗長化

・Long-houl diversity
having different long distance communication carriers

・Last mile protection
second local loop connection
THEME:仕事日記 | GENRE:就職・お仕事 |

CISM勉強ノート:情報セキュリティプログラム開発及び管理 - 非技術

この記事はCISMの試験範囲に関する内容について、一般的な情報に基づき勉強したものをまとめた個人的な覚書です。CISMの具体的な試験内容を表すものではなく、また正確性が保証されているものでもないことをご了承ください。

情報セキュリティプログラムの開発
・組織の目標と合致
・経営陣や利害関係者と協力
・評価尺度の設定
・最初にあるべき姿を決める
・効果的な情報セキュリティ戦略から始める
・戦略の策定にはリスクの評価と分析が必要
・統制の設計と配備が主な作業


情報セキュリティプログラム策定のステップ
・望ましい結果の決定
・セキュリティの目標、望ましい状態を定義
・現状を判断
・ギャップ分析
  ・KGIとKPIによる分析
・ギャップを埋めるための戦略を策定
・ロードマップの作成
  ・KGIを与え
  ・KPIを示し
  ・CSFを定義
    ・KGI Key Goal Indicator 重要目標達成指標
    ・CSF Critical Success Factors 主要成功要因
    ・KPI Key Performance Indicator 重要業績評価指標
・戦略実施の情報セキュリティプログラムの策定
  ・情報セキュリティアーキテクチャー
    ・複雑さを増すセキュリティの配備を管理する
    ・フレームワークとロードマップの提供
    ・多層化とモジュール化を通した簡潔性と明確性
    ・技術的インフラストラクチャーを保全するための最低限の標準を含む
    ・ビジネスの目的と目標に整合性を持つことが前提
  ・セキュリティアーキテクチャーの実装
    ・状況的・・・ビジネス上の観点
    ・概念的・・・アーキテクチャー設計者の観点
    ・論理的・・・設計者の観点
    ・物理的・・・構築者の観点
    ・構成要素・・・開発者の観点
    ・業務的・・・施設管理者の観点
・セキュリティプログラムの管理
  ・要員、役割、及び責任と技能
  ・セキュリティの啓もう、訓練と教育
  ・ドキュメンテーション
  ・プログラム開発とプロジェクト管理
  ・リスク管理
  ・ビジネスケース開発
    ・リファレンス
    ・前後関係
    ・価値の提案
    ・フォーカス
    ・成果物
    ・依存性
    ・評価尺度
    ・ワークロード
    ・必要資源
    ・確約
  ・プログラムの予算
  ・ベンダ管理
  ・プログラム管理の評価
  ・PDCA
  ・法的規制
  ・物理的要因と環境的要因
  ・倫理
  ・文化と地域の相違
  ・後方支援



情報セキュリティプログラムの問題
・経営者による支援
・資金
・要員の獲得


情報セキュリティプログラム管理の成果
・戦略的整合性
  ・ビジネスオーナーとの相互連絡
・リスク管理
・価値の配分
  ・要求水準にあった価値の確保
  ・リスクに応じたセキュリティベースライン
・資源管理
  ・人、技術、プロセス
  ・人的、財務的、技術的、知識的資源
・保証プロセスの統合
  ・セキュリティ、プライバシー、リスク管理、品質保証、監査、変更管理、保険、人事etc
  ・受け入れ可能費用で、受け入れ可能リスクをRTOをベースに定義し、保証プロセスを統合
・性能測定


フレームワーク
・COBIT
  ・ITガバナンスのためにITの優れた慣習及び傘となるフレームワークを統合するもの
  ・業務の焦点に基づいた整合性
  ・経営陣がITの内容を理解できる視点
  ・プロセス志向
  ・第三者及び監督機関を受容する
・ISO/IEC27001
  ・ISMS



情報セキュリティプログラムの成功の要素
・上級経営者の支援


セキュリティ目標の定義
・有効性を測定するツールとして
・評価指標の定義とモニタリングが評価と改善に大事
・評価指標はセキュリティ目標を反映していること


セキュリティポリシー
・組織の目標と合致

Security Policy
・Policies - the first and highest level of documentation
  ・Senior Management Statement of Policy
  ・General Organization Policies
  ・Functinal Policy
・Standards - Baseline, the use of specific technology
・Guidelines - recommneded actions, flexible
・Procedures
・プロシージャーは頻繁に更新
・How to 文書


情報セキュリティプログラムサービス及び業務活動
・連絡担当とResponsibilityの確立
・インシデント対応
・セキュリティレビュー・監査
・セキュリティ技術の管理
・デューデリジェンス・正当な注意
・準拠製のモニタリングと準拠の実施
  ・ポリシーの準拠
  ・標準への準拠
  ・違反問題の解決
・リスクとインパクトの評価
  ・脆弱性評価
  ・脅威の評価
  ・リスク評価とビジネスインパクト評価
  ・資源依存度評価
・外部委託とサービスプロバイダー
・クラウドコンピューティング
  ・新しいリスク
  ・データーオーナーがデータに影響を与える環境をコントロールできない
  ・利点
    ・費用
    ・拡張性
    ・信頼性
    ・業績
    ・俊敏性
  ・セキュリティへの考察
  ・サービスモデル
    ・IaaS
      ・基本的なコンピューティングリソース
      ・サービス中断発生時の影響最小化
    ・PaaS
      ・ミドルウェアを含むリソース
      ・可用性、機密性の確認
      ・プライバシー違反時の法的責任
      ・データの所有権
    ・SaaS
      ・アプリケーション
      ・誰がアプリケーションを所有するか
      ・アプリケーションはどこにあるのか
  ・配備モデル
    ・プライベート
      ・組織のために単独
      ・施設内、施設外
      ・最小リスク
      ・公共クラウドサービスの拡張性や敏捷性は提供できないことも
    ・コミュニティ
      ・複数の組織が共有
      ・共通の利益や目的があるコミュニティに対応
      ・施設内、施設外
      ・データーを競合者と保管することも
    ・パブリッククラウド
      ・大規模な産業グループ及び一般市民のため
      ・クラウドサービスを販売する組織が所有
      ・データの保管場所が未知であり簡単に取得できない
    ・ハイブリッドクラウド
      ・2つ以上のクラウドで構成
      ・異なる配備モデルを結合するリスク
・ITプロセスへの統合
  ・ライフサイクル
  ・変更管理
  ・構成管理
  ・リリース管理


運営委員会
・上級経営者が参加している
・情報セキュリティプログラムの開発
・IT部門、人事部門および営業部門の指導者
・実践レベルの代表者が必要
・主要スポンサー以外は取締役会のメンバーは入らない


Roles and Responsibility
・Senior Manager - Has the ultimate responsibility for security
・InfoSec Officer - Has functional responsibility for security
・Owner - Determines the data classification
・Custodian - Preserves the informations CIA
・User/Operator - Performs iAW the stated policies
・Auditor Examines security, security policy and procedures. Report to senior management

アプリケーションとデータ管理の責任者はデータオーナーやアプリケーションオーナー 許可や承認
システム管理者はオペレーター的に作業を担当
DBに関わるデータの管理作業自体はDBAが担当

データ及びシステムオーナー -> セキュリティ手段の維持について「責任」を負っている 通常シニアマネジメントの一員

経営者 -> 全ての情報資産にアクセス権限と分類を決定するオーナーが指名されていることの保証

セキュリティ管理者 -> 日常業務は委任されているかも

構成管理計画の承認はITマネージャー

組織内で関係する他部門
・物理的・企業セキュリティ
・IT監査
・情報技術部門
・ビジネスユニットのマネージャー
・人事
・法務部門
・従業員
・調達
・コンプライアンス
・プライバシー
・訓練
・品質保証
・保険
・プロジェクト管理

・セキュリティマネージャーとしてはベンダのモニタリングの確立が大事
・外部業者へのアウトソーシング
・全ての契約の中に監査条項があること
・各契約のSLAが適切なPKIによって実証されていること
・プロバイダーの契約上の保証が組織のビジネスニーズを支援していること
・契約終了時に各委託者から新しい委託者へのサポートが保証されていること
・セキュリティ要件が契約で義務付けられていること
・義務付けだけでなく実際に定期的な監査やレビューが行えることが大事

・アウトソーシング先とのSLAのレビュー
  ・独立した監査報告書または全面的な監査アクセス


・アウトソーシング先が監査、調査に同意する必要がある理由
  ・監査なしにはそのサービスやポリシーが適切か検証したり実証する手段が無い

外部委託のSLA
・最初に見るべきは業務ニーズに基づいたサービスを契約しているか
・監査できるかどうかは懸念すべき事項


セキュリティ啓もう活動
・何某かのユーザーの理解度に対する定量的な評価があるとよい
・届け出インシデント数の数による効果測定
・啓もう活動対象のターゲッティングが効果的
・個々のグループのニーズにあわせてカスタマイズ
・人的リスクの軽減を目的
・セキュリティポリシーに準じすべきこととすべきでないことの教育
・ソーシャルエンジニアリング対策
・新規採用者にはアクセス権限を取得させる前に行う
・実際に行動に変化があることが一番大切


変更管理
・変更を導入するプロセスの統制
・変更が承認されているか確認
・本番システムに導入される弱点を防ぐ
・コード改ざんを防ぐ
・最も重要な承認はユーザー部門から
・緊急の変更要請が多い場合は運用手続きの検査が必要
・変更管理申請書に対比し、実際の変更をトレースして検証


コントロールと対策
・要件定義・・・セキュリティ要件
・アーキテクチャーと設計・・・リスク分析
・検証計画・・・セキュリティ検証
・コーディング・・・コードレビュー
・検証と検証結果・・・侵入テスト
・フィードバック・・・セキュリティ運用



バランススコアカード
・情報セキュリティの目的が満たされているか
・情報セキュリティ目標の組織への整合を改善するためにレビュー


SWOT分析
・強み、弱み、機会、脅威の分析


情報セキュリティ四半期レポート
・経営委員会
・動向報告がよい


セキュリティベースライン
・最小限の許容できるセキュリティ
・各プラットフォーム上のセキュリティ設定が情報セキュリティポリシーに準拠していることを確実にする


資産の価値の考慮
・目的達成の費用を根拠


セキュリティコントロールの確認
・設計段階から
・開始段階では基本的なセキュリティ目標の確認
・要件定義で仕様等の確認


グローバルな組織
・多様な文化
・技術力のばらつき
・多様な法律


外部委託先のセキュリティポリシー準拠
・定期的な監査で確認


セキュリティ監査レビューの目的
・統制が要求通り働いていることを確かめる


CMM
・あるべき姿に対して現行のセキュリティプロセス開発のレベルを測定するのに使用
・Capability Maturity Model

・能力成熟度モデル CMMI
レベル1 初期 プロセスは予測不能
レベル2 管理 プロセスはプロジェクト向けに特徴づけられ反応型 反復可能
レベル3 定義 明確化 理解 事前対応型
レベル4 定量的管理 プロセスは測定、制御されている 定量的目標
レベル5 最適化 重点はプロセスの向上

・ISO15504
レベル0 不完全 プロセスは導入されていない
レベル1 実行 プロセスが導入
レベル2 管理 プロセスが管理 作業青果物確立 コントロール、維持
レベル3 確立 定義されたプロセスは標準処理に基付き利用
レベル4 予測可能 プロセスは一定の範囲内で首尾一貫して成立
レベル5 最適化 プロセスが継続的に改善


継続的なモニタリング統制はコストが高い


コントロールの分類

・予防的コントロール 問題が発生する前 preventive
・発見的コントロール 発見 報告 detective
・訂正的コントロール 影響の最小化 corrective
・抑止的コントロール セキュリティ違反を抑止する deterrent
・復旧的コントロール リソースや能力を回復するためのコントロール recovery
・管理的コントロール 処理のシステムを修正し問題が繰り返し起こることを最小化 administrative
・補償的コントロール compensation
・補完的コントロール リスクを軽減するコントロール手順を加えることで増加するリスクを補完する

・Preventive/administrative - pre-employment backgroung check, termination procedures etc
・Preventive/technical - ACL, encryption, AV software firewall etc
・Preventive/physical - fences, badges, doors etc

・Detective/Administrative - background check, vacation schedule, job rotation etc
・Detective/technical - IDS, monitoring etc
・Detective/physical - camera, sensors etc

・Corrective/administrative - security policy
・Corrective/technical - IDS, AV software
・Corrective/physical - fence, badges, cctv

・Deterrent/administrative - personnel procedure, separation of duty
・Deterrent/technical - IDS, firewall, encryption
・Deterrent/physical - backup

・Recovery/administrative
・Recovery/technical - AV software
・Recovery/physical - fence, badges, cctv etc

・Compensation/administrative - personnel procedures, administration etc


セキュリティプログラムの評価尺度とモニタリング
・評価尺度の作成
  ・戦略的レベル
    ・定義された目標に進んでいるか
    ・予算
    ・上級経営者向け
  ・管理レベル
    ・管理に必要な意思決定のため
    ・情報セキュリティマネージャー向け
    ・ポリシーやスタンダードへの準拠
    ・自己管理と応答性
    ・労働力と資源の利用状況
  ・業務レベル
    ・ITセキュリティマネージャー、システム管理者向け
    ・未対応の脆弱性
    ・パッチ管理
・モニタリングアプローチ
  ・セキュリティ活動のモニタリング
  ・情報セキュリティ投資の成否の判断
    ・KPI
    ・TCO
  ・情報セキュリティ管理の性能測定
  ・情報セキュリティのリスクと損失の測定
    ・脆弱性の個数
    ・解決されたものの個数
    ・解決時間
    ・再発数
    ・インパクトを受けたシステム
    ・ALE
    ・リスクのレベル
    ・修正、解決したリスクのレベル
  ・組織目標支援の測定
  ・準拠性の測定
  ・運用生産性の測定
  ・セキュリティの費用効果の測定
    ・分析されるパケットのボリューム
    ・スキャンされるメール
    ・アプリケーションの脆弱性評価費用
    ・PCのセキュリティコントロール費用
    ・スパムとウィルスの数
  ・組織の意識向上の測定
    ・人事部門と協業
  ・セキュリティアーキテクチャーの有効性の測定
    ・ネットワークアクセスコントロールデバイスが撃退した探査と試み
    ・IDSが検知したイベントの数
    ・実際の攻撃、種類、インパクト
    ・識別され、無効化されたワーム、ウィルス
    ・セキュリティの欠陥とパッチを当てていないシステムに起因する中断時間の長さ
  ・管理フレームワークと資源の有効性の測定
  ・運用実績の測定
    ・事故の発見、報告、阻止にかかる時間
    ・脆弱性の発見から解決までの時間
    ・事故の回数、頻度、重要度
  ・モニタリングと伝達
THEME:仕事日記 | GENRE:就職・お仕事 |

CISM勉強ノート:情報リスク管理とコンプライアンス

この記事はCISMの試験範囲に関する内容について、一般的な情報に基づき勉強したものをまとめた個人的な覚書です。CISMの具体的な試験内容を表すものではなく、また正確性が保証されているものでもないことをご了承ください。

リスク管理プログラム
・経営者の払う注意義務
・コストに対するリスク削減活動の最適化
・組織が目標を達成する能力を保持していることを確実にする
・残存リスクを許容可能レベルに低減
・効果
  ・新しいリスクの検出
  ・組織の全メンバーの参加
・ビジネスプロセスの一部とすること


リスク管理プロセス
・範囲と境界の定義
  ・内部要素
    ・組織の強み・弱み
    ・内部の利害関係者
    ・組織の構造・文化
    ・資源面の資産等
  ・外部要素
    ・法規制環境
    ・現地市場
    ・外部の利害関係者
・リスク評価
・リスクへの対処
・残存リスクの受容
・リスクの伝達とモニタリング


リスク
・受け入れ可能なまで低減
  ・リスク分析により割り当てる資源の量を決定
    ・資産が必要とする保護の程度、レベルを調査
    ・ステップ
      ・最初のステップは主要な脅威をビジネス目標と照らし合わせ - まずビジネス。ビジネス要件の理解。
      ・ビジネス資産を明確にする。インベントリ。
        ・オーナー、金額評価。
        ・資産が明確にされ、適切に査定されていることが何よりも重要
        ・資産のランク付けにより適切な保護の水準を決定できる
        ・システム機能性が失われた時の重要性
      ・発生可能性と影響。ビジネスリスクを明確に
      ・脆弱性評価
      ・リスク軽減策の検討
    ・リスク軽減策の正当性を説明
    ・損失の潜在的な大きさと発生頻度
      ・発生可能性
      ・インパクト
      ・経済的損失、金銭的な損失の可能性
    ・物的資産の価値は再調達価格
    ・対策コストはリスクに比例 費用対効果が重要 RTO、RPOを意識
    ・情報資産の価値はビジネスオーナーが決定
      ・インパクトにより重要性と機密性が決定
      ・データーオーナーの要望により決定
      ・機密度、重要度によりアクセスコントロールのレベルが定まる
    ・プロセスオーナー、ビジネスオーナーが遂行
    ・定性的
    ・定量的
    ・準定量的
  ・低減の度合いが成功の度合い
  ・受容
  ・低減
  ・移転 保険会社。責任の移転はできない。外部委託もリスクの移転。企業の責任は免除しない。
・リスク評価
  ・評価の開始はフィージビリティから
    ・定期的なリスク評価 リスクの受容等、条件が変化することも
    ・年一回または重要な変更の都度
    ・リスク評価は継続的に実施
      ・リスク環境は常に変化
  ・資産の特定と査定からスタート


Risk Managementリスク管理プロセス
Identify, Analysis, Control, minimization of loss

Risk Analysis for Risk Management
・資産の特定 - also identify the administrator and custodian
・資産の分類 - including classification and labeling. Data owner has a responsibility. Asset Valuation
  ・優先順位
  ・脅威の分析
    ・自然の脅威
    ・意図的でない脅威・・・火事、水害、故障
    ・意図的で物理的な脅威・・・爆弾、盗難
    ・意図的で物理的でない脅威・・・詐欺、ハッキング、不正プログラム、ソーシャルエンジニアリング
  ・脆弱性の評価
    ・SWの欠陥、不適切な機器、不十分なコンプライアンス、脆弱なネットワーク、不適切な管理
  ・発現可能性
    ・リスクの洗い出し
      ・発生原因
      ・特定の活動・事故
      ・リスクの結果
      ・特定の発生理由
      ・発生の時間・場所
  ・既存のコントロール評価
  ・コントロールの設計
    ・定性的リスク分析, Qualitative
    ・定量的リスク分析, Quantitative 一般にBIAで実施, ALE
    ・Safeguard Selection -> Cost-Benefit Analysis
    →アウトプットはセキュリティ方針にも利用


リスク評価プロセス
事業目標の明確化 → 情報資産の明確化 → リスク評価 脅威 脆弱性 可能性 影響 → リスク軽減 コントロール → リスク対処 既存のコントロールではだめなものへの対処 → リスク再評価の実施

インベントリ→脅威の評価→脆弱性→リスクの把握→コントロール→残余リスクのレビュー 評価→行動計画

Asset Valuation -> Threat Analysis -> Control Analysis -> Mitigation -> Policy Creation -> Awareness

NIST Risk Evaluation
システムの特性解析→脅威の特定→脆弱性の特定→コントロール分析→発現可能性の判定→影響分析→リスクの判定→コントロールの提案→結果の文書化

FAIR
情報リスクの要因分析

集合リスクとリスクの連鎖
・集合すると大きなリスクとなるものに注意

リスク関連用語
・脅威 - Threat 資産の脆弱性をつき資産を損失 損害に晒す
・脆弱性 - Valunerability 十分なセキュリティ機能が無い
・予防策・対策 - Safeguard control or countermeasure
・インパクト - 脆弱性を利用する脅威の結果
・確率 - Risk 脅威が発生する見込み
・露出 - Exposure 脅威による損害への露出


Qualitative Risk Assessment

・Delphi デルファイ法
delphi method / delphi technique
専門家グループなどが持つ直観的意見や経験的判断を反復型アンケートを使って、組織的に集約・洗練する意見収束技法。技術革新や社会変動などに関する未来予測を行う定性調査によく用いられる


Quantitative Approach

Risk Analysis Fomulas, especially for Quantitative Risk Analysis.
・EF - Exposure Factor, percentage of loss
・SLE - Single Loss Expectancy, the dollar figure that is assinged to a single event
  Asset Value ($) x EF = SLE
・ARO - Annualized Rate of Occurrence, a number that represents the estimated frequency.
  The event occurred once every 100 years -> ARO 0.01
・ALE - Annualized Loss Expectancy, a dollar value derived from followings.
  SLE x ARO = ALE
  Asset Value x Exposure Factor x ARO
・Total Risk = Threat x Vulnerability x Asset Value
・Threat -> Man-mad and natural

・Residual Risk 残余リスク = ( Threats x Valunerability x Asset Value) x Control Gap or (Threats, Valunerability, Asset Valu)- counter measures

・FRAP, Facilitated Risk Analysis Process -> Done by team ofbuisness managers and technical staff. Check the group of 26 common controls


リスク管理, Control and Safeguard Selection
・回避・拒否 導入しない 無視する
・軽減, Reduction コントロール 対策の導入
・移転, Trasference 分担 アウトソース 保険の購入
・許容, Acceptance 認知 監視

・Risk Mitigation is the "process" of determining the level of risk at which the organization can operate and function effectively.
・Risk Acceptance is the act of accepting risk.
・Risk trasference is the act of moving th erisk to another party.
・Risk reduction is the act of working toward reducing risk in the organization.


リスクの種類
・固有リスク 業務の性質から発生 監査とは無関係 補完的コントロールなどでフォローする
・統制リスク 内部統制システムによって検出されないエラー
・発見リスク 監査人の不適切な調査により発見されないエラー
・監査リスク 監査期間中に発見できなかった可能性がある重大なエラー 上記のトータル
・総合的なビジネスリスク
発生可能性と影響度


リスクを受容する目安
・MTO Maximum Tolerable Outage - the maximum amount of time the organization can provide services at the alternative site
・SLO Service Level Objective - the level of service provided by alternate processes while primary processing is offline
・MTD Maximum Tolerable Downtime - the longest time that an organization can survive without a critical function
・RTO Recovery Time Objectives - the maximum elapsed time to recover an application at an alternate site
・RPO Recovery Point Objective - How current the data must be or how much data an organization can afford to lose


各部門・役割について

上級経営者及び取締役会
・最終責任
・十分な資源と支援が可用であることを保証
・状況報告を受ける
・リスクの承認

CIO
・IT計画の策定、予算、性能の責任

運営委員会
・主要な利害関係者で構成
・ビジネス戦略の支援という観点からリスク管理の優先付け
・リスク管理目標の定義
・上級経営者の支援を得る

データーオーナー
・システムへの資格の付与
・アクセスの許可
・どのリスク軽減統制を導入するか決定
・データの正確性・機密性・可用性の問題に対応する責任


情報セキュリティマネージャー
・定義された目標に合致したプログラムの作成、管理
・管理活動の維持

ITセキュリティ実務担当者
・セキュリティ要件が正しく実現されていることに責任を持つ
・セキュリティコントロールの実施



ビジネスインパクトアナリシス
・情報システムの価値は利用できないときのコスト
・リスクの潜在的結果を決定
・リソースおよび重要度の決定が必要
・RTO の決定(Recovery Time Objective)
・復旧優先度の決定
・ダウンタイム許容度の決定



費用対効果分析
・全導入管理費 TCO がコストのベースライン
・限られた予算でセキュリティコントロールを実施するか決定する根拠
・軽減策導入の検討時に実施


ギャップ評価
・望ましい将来と現状
・新しい業界規制への準拠を検討する最初のステップ


脆弱性評価
・構成の誤り、更新の不足を明確化

侵入テスト
・脆弱性を明確化

統制の有効性評価
・計画された目標に関するテスト結果
・KPI


セキュリティコントロールの導入
・ビジネスニーズに合致
・業務への影響を最小限
・コントロールの種類 ・
  ・低減コントロール


バックアップ
・法的要件による
THEME:仕事日記 | GENRE:就職・お仕事 |

CISM勉強ノート:情報セキュリティガバナンス

この記事はCISMの試験範囲に関する内容について、一般的な情報に基づき勉強したものをまとめた個人的な覚書です。CISMの具体的な試験内容を表すものではなく、また正確性が保証されているものでもないことをご了承ください。

セキュリティ目標
・情報が必要なときに利用可能(可用性)
・情報は知る権利がある人のみ閲覧・利用が可能(機密性)
・情報は無権限の変更から保護(インテグリティ)
・ビジネストランザクション、情報交換が信頼できる(否認防止)

情報セキュリティ戦略
・経営戦略とあわせる
・時間軸も経営戦略と合わせる
・主要なビジネス目標の理解が必要
・ギャップアナリシス、ロードマップ
・プロセス・手法・ツール・技術
・ビジネス>プライバシ、法規制>技術
・ビジネス目標との関係が追跡可能であるほど有効
・情報に関する資産と資源の保護


情報セキュリティ戦略の目的と策定
・情報セキュリティガバナンスと同等
・前提
  ・情報セキュリティの目標の決定
  ・情報資産および情報資源の識別
  ・情報資産および情報資源の評価
  ・情報資産の重要度や機密度による分類
・目標の定義
  ・望ましい状態に関する長期目標の定義
  ・ビジネスとの連結
・望ましい状態に役立つもの
  ・COBIT
    ・計画と組織化
    ・取得と導入
    ・提供とサポート
    ・監視と評価
  ・能力成熟度モデル CMM
  ・バランススコアカード
    ・学習と成長
    ・業務プロセス
    ・顧客
    ・財務
  ・アーキテクチャー
    ・EISA Enterprise Information Security Architecture
    ・TOGAF The Open Group Architecture Framework
    ・Zachman
    ・EA2F Extended Enterprise Architecture FrameWork
    ・ISO/IEC27001と27002
・リスク目標
  ・コストと管理レベルのバランス
  ・業務リスク管理は常にトレードオフ。するリスクとしないリスク
  ・リスクは費用を発生させる
  ・一部のリスク許容度はRTOで数量化
・セキュリティの現状の決定
  ・COBIT、CMM、バランススコアカード、ギャップ分析
  ・現在のリスク
    ・BIAで評価
・情報セキュリティ戦略の策定
  ・ロードマップ
    ・長期目標
    ・短期目標
  ・戦略の資源と制約
・戦略資源
  ・Policy, Standard, Procedure, Guidelineの確認
  ・セキュリティアーキテクチャー
    ・Zachman
    ・SABSA
    ・EA2F
    ・UK MOD
    ・TOGAF etc
  ・コントロール
    ・IT
    ・IT以外
    ・多層防御 Layered
  ・対策
  ・技術
  ・要因
  ・組織構造
    ・集中型アプローチ
      ・法律や文化の把握
      ・全社的なアプローチに各支店での修正を付与
    ・分散型アプローチ
      ・すばやい対応
      ・サービスの質の不均一
  ・従業員の役割と責任
  ・スキル
  ・啓蒙および教育
  ・監査
  ・法令尊守
  ・脅威の評価
  ・脆弱性の評価
  ・リスクの評価と管理
  ・保険
    ・損害保険
    ・責任保険
    ・身元信用保険
  ・ビジネスインパクト評価
  ・資源依存度分析
  ・外注委託サービス
・戦略の制約
  ・法的規制事項
    ・業務記録の内容と保存の要件
    ・電子証拠開示 Eディスカバリ
  ・物理的制約
    ・容量、スペース、環境災害
  ・倫理
  ・文化
  ・組織構造
  ・費用
  ・人員
  ・資源 TCOの考慮
  ・能力
  ・時間
  ・リスク受容及び許容度
・戦略実施のための行動計画
  ・ギャップ分析
    ・セキュリティ戦略に上級経営者の受け入れと支援がある
    ・セキュリティ戦略がビジネス目標と本質的に連結している
    ・セキュリティポリシーが完全であり、戦略と一致している
    ・StandardとProcedure
    ・役割と責任の割り当て
    ・アクセスコントロール
    ・情報資源の識別
    etc
  ・Policyの開発
  ・Standardの開発
  ・教育と啓蒙
・行動計画の評価尺度
  ・KGI Key Goal Indicator 重要目標達成指標
  ・CSF Critical Success Factors 主要成功要因
  ・KPI Key Performance Indicator 重要業績評価指標
  ・一般的なもの
    ・計画と予算に従った進捗状況
    ・BCP,DRPの結果
    ・監査結果
    ・規制への準拠状況
    ・Policy準拠の評価
    ・パッチ管理の状況
    ・脆弱性スキャンの結果
    ・サーバー構成基準への準拠
    ・IDSの検知結果
    ・FWのログ解析

Policy, Standard and Procedure
・Policies - the first and highest level of documentation
  ・Senior Management Statement of Policy
  ・General Organization Policies
  ・Functinal Policy
・Standards - Baseline, the use of specific technology
・Guidelines - recommneded actions, flexible
・Procedures
・プロシージャーは頻繁に更新
  ・How to 文書


バランススコアカード
・IT機能及びプロセスを評価
・ITと業務の整合を目指すのに役立つ
・IT資産への投資計画、管理
  ・顧客満足
  ・オペレーションプロセス
  ・イノベーション
  ・従来の財務


The software Capability Maturity Model (CMM)
・能力成熟度モデル CMMI
・レベル1 初期 Initiating プロセスは予測不能 variable, inconsitent and depend heavily on institutional knowledge
・レベル2 管理 Repeatable プロセスはプロジェクト向けに特徴づけられ反応型 反復可能 processes are seen as repeatable
・レベル3 定義 Defined 明確化 理解 事前対応型 quantitative process improvement, documented standards are put in place
・レベル4 定量的管理 Managed  プロセスは測定、制御されている 定量的目標 metrics and management standards are in place
・レベル5 最適化 Optimizing 重点はプロセスの向上

ISO15504
・レベル0 不完全 プロセスは導入されていない
・レベル1 実行 プロセスが導入
・レベル2 管理 プロセスが管理 作業青果物確立 コントロール、維持
・レベル3 確立 定義されたプロセスは標準処理に基付き利用
・レベル4 予測可能 プロセスは一定の範囲内で首尾一貫して成立
・レベル5 最適化 プロセスが継続的に改善

各部門・役割について
取締役会・上級経営者
・最終的な意思決定者
  ・仲裁に最適。意思決定をゆだねる
・承認
・最終的な保証
・指示とガバナンス
・情報セキュリティポリシーの最終承認
・法規制上の責任
・組織の情報の最終的な責任
・支持を得るために
  ・ビジネス目標をからめる
  ・ビジネス環境、ビジネス目標へのインパクト
  ・全体的な組織のリスク
    ・そのためのリスク評価の実施
  ・業務管理目標との整合性に関する定期的なレビュー
  ・企業目標に対する現実的な脅威の関連付け

経営幹部
・組織の機能・資源・支援基盤を用意
・情報セキュリティプログラムの成功および継続管理のため積極的に関与
・ビジネスプロセスのオーナーと協力

CISO
・情報セキュリティ戦略書の策定
・情報セキュリティポリシーの取締る責任
・パフォーマンス評価尺度の策定、導入、監視
・CSOやCFOが兼任することも


データーオーナー・ビジネスオーナー
・データーに対するアクセス権の承認
・アクセス要件の決定
・情報のランク付けに責任
・情報のランクの決定


セキュリティアドミニストレーター
・運用の責任


情報セキュリティマネージャー
・セキュリティ戦略の策定
・上級経営者との親密な関係、支援
・コミュニケーション
・運営委員会の設置が必須
・情報のランク付けの管理を監督
・情報のランクの定義と承認
・リスク分析を促進
  ・上級経営者は支持し、後援
・統制と法規制の評価


情報セキュリティ運営委員会
・セキュリティ戦略のレビュー
・上級経営者の支援で設置
・情報セキュリティがビジネス目標と整合しているか確かめる
  ・ビジネス機能の代表者の参加が必須
・情報セキュリティへの取り組みに対する優先順位をつける
  ・組織、ビジネスへのインパクト
・許容できるセキュリティレベルの設定
  ・最終的な責任は上級経営者



情報セキュリティガバナンス
・最初に必要なもの
  ・経営戦略→セキュリティ戦略→セキュリティポリシー→ガバナンスの作成
    ・セキュリティポリシーの存在
      ・経営目標により作る
      ・手順につなげる
  ・戦略とは目的と範囲
    ・目的が決まってそれに沿ったビジネスリスクを識別。それを踏まえポリシー。
  ・上級経営者の関与
・成功の鍵
  ・運営委員会の存在
  ・セキュリティプロジェクトを運営委員会が承認
  ・上級経営者の関与
    ・関与させるためにリスク評価、インパクト分析
  ・計画
  ・評価尺度
    ・管理要件に対処する評価尺度の策定
    ・監査とリスク評価
・勧める理由
  ・事業戦略
  ・経営意思決定に効果的に関与する
  ・民事責任または法的責任に対する可能性の軽減
  ・確立されたリスク管理
・ポリシー、スタンダード、プロシージャー、ガイドライン
  ・ガイドラインが自由裁量高い
  ・ポリシーは技術の変化では変化しがたい
・組織構造の複雑性に影響を受ける
・最終的に取締役会と経営幹部の責任
・目的
  ・戦略的整合性
    ・費用効果と組織の目標
    ・セキュリティ目標はビジネス用語で定義
  ・リスク管理
    ・期待値と目標の定義
    ・リスク許容度の定義
    ・リスクの軽減目標
    ・資産評価、BIA
    ・DRP,BCP
  ・価値の配分
    ・セキュリティ活動と紐づくセキュリティ目標
    ・セキュリティの費用と資産の価値の評価
    ・保護コストと収益、試算評価額との統合
  ・資源管理
    ・人、プロセス、技術等の資源
    ・問題再発の低減
    ・効果的な知識の獲得と普及
    ・標準化されたプロセス
  ・パフォーマンス測定
    ・セキュリティ関連の事故の検知から報告までの時間
    ・報告されなかった事故が事後に発見される回数と頻度
    ・コントロールの有効性、効率性
    ・継続的なレビュー
    ・BCP,DRPのテスト結果
  ・不要なセキュリティの除去
    ・不要なセキュリティの除去
    ・重複の削除


上級経営者の関与に際して
・セキュリティ目標をビジネス目標に整合させる
・目標が達成できない場合の潜在的な結末を明確にする
・予算項目を明らかにする
・TCOやROIを用いた定量評価
・モニタリングと監査の方法を定める


情報セキュリティアーキテクチャー
・関係者の要件が大事
・ビジネスの利益を増大させること


情報セキュリティ技術・セキュリティコントロールへの投資判断
・ビジネス価値の増大につながることがより優先度が高い。リスクのみに焦点を当てるよりも。ビジネスケースがもっとも説得力がある。
・価値分析
・事業事例・ビジネスケース
  ・ニーズの定義が必要
・経営戦略の一部
・利益があるか
・導入コストは資産価値を上回る
・リスク・損失だけを見ない。費用対効果。全体的な価値。
・ビジネスリスクを低減できるか
  ・リスク評価


情報セキュリティ
・目的
  ・ビジネス目標が必要とする技術的能力
  ・組織の情報資産の保護
  ・技術的要件とビジネス要件とのバランス
  ・コンプライアンス要件に対応
・評価
  ・ビジネス領域の目標との関連
  ・戦略的な整合
リスク分析
  ・目的・範囲の決定
  ・BIA
    ・リスクの現状を把握


プライバシに関わる法規制
・身元を特定できる個人的データ
・HIPPA
・告知と拒否権が重要
・情報をどのような目的に使用するか


業務記録の保存
・ビジネス要件の考慮が前提
・保存は法規制・法的要件
・長期保存の際はアプリケーションシステムと媒体に注意


情報セキュリティの管理
・集中管理
  ・サービスの品質が均質
  ・ポリシーへの準拠性
  ・コストの削減
  ・ただしビジネスユニットとの連係不足によるターンアラウンドが遅くなる
・分散管理
  ・ビジネスユニットのニーズに合う
  ・規模の経済性がない


国際的な企業での注意点
・地域の期間はデータが収集された国の法律を尊守する
・データーが収集される国のデータープライバシーポリシー
・現地版の標準の作成
・文化の多様性に注意
・企業全体のコミュニケーションチャネルを確立することが大事


職務と職責の定義
・説明責任の向上
・職務記述書にセキュリティ職責任を記述


ガバナンス・リスク管理・コンプライアンス(GRC)
・ガバナンス・・・組織が利用するメカニズムを作成
・リスク管理・・・リスクを許容可能なレベルで管理
・コンプライアンス・・・方針や基準の適切な尊守
THEME:仕事日記 | GENRE:就職・お仕事 |