CISSP勉強メモ
CISSP勉強メモ

説明責任

  • 説明責任
    • 各防衛策について1人以上の担当者
    • 成果に直接関連付けする
  • 設計上の秘密の排除
    • 防衛策の可変性
  • 適用の普遍化
    • 防衛策を一様に適用する
    • 例外を最小限にとどめる
  • 管理と管理対象の独立性
    • 防衛策が対象を管理/制御する
    • 管理者が防衛策を管理する
    • 管理と管理対象は担当者が異なる
  • 監査機能
    • テスト可能であること
    • 設計と実施に監査員を設ける

人的セキュリティ

  • 従業員による受け入れと容認
    • 不当な強制を避ける
  • 人間による介入の最小化
    • 手動操作は、防衛策における最大の弱点となる
  • 継続性
    • 高い自動化率=持続性の向上
  • 無効化とフェールセーフ
    • 防衛作にはシャットダウン機能が備わっていること
    • 権限のないアクセスを許可しない
  • 適用後の状態とリセット
    • 防衛策実施後の状態
      • 資産の安全性が少なくとも依然と同程度であること
    • リセット時の資産保護
    • 残存データの抹消

「説明責任と人的セキュリティ」をウィキ内検索
最終更新:2008年11月19日 13:24