人的セキュリティの推奨慣行と保証メカニズム - CISSP勉強メモ

人的セキュリティの推奨慣行

• 仕事内容の説明、役割と責任の明確化
• 特権／認知の必要性
• 職責の分離(Separation of Duties)
  • 従業員が牽制し、不正な目的でシステムを操作するのを阻止する
• ジョブローテーション
• 休暇取得義務

保証メカニズム

• 内部／外部の監査レポート
  • COBiT、IIAのレッドブック、イエローブック、その他
• 経営陣による定期的なチェック
  • セキュリティレビュー（内部）、チェックリスト、監査
• 第３者によるチェック
  • 攻撃テスト／ペネトレーションテスト
  • ポリシーの見直し
  • 脅威リスク評価

---

▼戻る