セキュリティ管理のメモ帳

セキュリティに関する備忘録

トップ > リスクマネジメント

リスクマネジメント

2023年 セキュリティ脅威予測まとめ

リスクマネジメント

はじめに 1.人の脆弱性を突く攻撃が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 2.ディープフェイクのサイバー攻撃への利用が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 3.アカウント…

#2023年 #セキュリティ脅威 #予測 #脅威

サプライチェーンセキュリティリスクマネジメント(後)

リスクマネジメント

ー サプライチェーン上のセキュリティリスク ー はじめに 1.サプライチェーンのリスク要因 1.1.組織は供給者を直接管理できない 1.2.サプライチェーンの全体像を把握することは困難 2.サプライチェーン上のセキュリティリスクとは 2.1.サプ…

#セキュリティガバナンス #サプライチェーンセキュリティリスク #SCRM #供給者 #セキュリティ

サプライチェーンセキュリティリスクマネジメント(前)

リスクマネジメント

ー サプライチェーン上の情報の管理責任 ー はじめに 必要とされる背景 サプライチェーン上の情報の管理(保護)責任 デューケアの観点で考える管理責任 デューディリジェンスの観点で考える管理責任 まとめ 参考資料 脚注 はじめに 多くの組織では、「専門…

#セキュリティガバナンス #サプライチェーンセキュリティリスク #SCRM #供給者 #セキュリティ

情報セキュリティリスクマネジメントについて(9)

リスクマネジメント

ー6.リスクコミュニケーションー はじめに 1)リスクコミュニケーションとは 2)具体的な実施方法 2-1)実施者(誰が) 2-2)実施目的(なぜ) ① リスクに関し正確な意思決定を行う ② リスクを監視する ③ 利害関係者と認識を共有する ④ 利害関係者…

#セキュリティリスク #リスクマネジメント #リスクコミュニケーション #ISO 31000 #ISO/IEC DIS 27005:2021

情報セキュリティリスクマネジメントについて(8)

リスクマネジメント

ー5.モニタリング及びレビューー はじめに 1)モニタリング及びレビューとは? 2)具体的な実施例 2-1)セキュリティリスクを適切にコントロールするため ① 脅威の検知 ② 脆弱性の特定 ③ 脅威情報の収集 ④ 脆弱性情報の収集 ⑤ 法・規制情報の収集 ⑥ …

#リスクマネジメント #セキュリティリスク #リスクモニタリング #ISO 31000 #ISO/IEC DIS 27005:2021

情報セキュリティリスクマネジメントについて(7)

リスクマネジメント

ー4.リスク対応ー はじめに 1)リスク対応とは 2)具体的な実施方法 2-1)リスク対応方針の決定 ① リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する ② ある機会を追求するために、リスクを取る又は増加させる ③ リ…

#リスクマネジメント #セキュリティリスク #リスク対応 #ISO 31000 #ISO/IEC DIS 27005:2021

情報セキュリティリスクマネジメントについて(6)

リスクマネジメント

ー3.3.リスク評価ー はじめに 1)リスク評価とは 2)具体的な実施方法 2-1)リスク受容可否の決定 2-2)リスク許容について 2-3)リスク対応優先度の決定 まとめ 参考資料 脚注 はじめに 情報セキュリティリスクマネジメントのリスク評価プロ…

#CPGs #CISA #リスク評価 #セキュリティリスク #リスクマネジメント #ISO 31000 #ISO/IEC DIS 27005:2021

情報セキュリティリスクマネジメントについて(5)

リスクマネジメント

ー3.2.リスク分析ー はじめに 1)リスク分析とは 2)具体的な実施方法 2-1)起こりやすさの分析 ① 接触頻度(Contact Frequency) ② 実行の発生確率(Probability of Action) ③ 脅威の能力(Threat Capability) ④ 抵抗力の強さ(Resistance Stren…

#セキュリティリスク #リスクマネジメント #リスク分析 #FAIR #ISO/IEC DIS 27005:2021 #ISO 31000

情報セキュリティリスクマネジメントについて(4)

リスクマネジメント

ー3.1.リスク特定ー はじめに 1)リスク特定とは 2)組織及びその内外の状況の理解 ① 組織内標準 ② 内部の現状 ③ 外部の現状 ④ 内部の変化 ⑤ 外部の変化 3)リスク特定の実施例 3-1)リスクの特定 3-2)リスク所有者の特定 まとめ 参考資料 脚…

#リスクマネジメント #セキュリティリスク #リスク特定 #ISO/IEC DIS 27005:2021 #ISO 31000

情報セキュリティリスクマネジメントについて(3)

リスクマネジメント

ー3.リスクアセスメントー はじめに 1)リスクアセスメントとは? 2)具体的な実施例 2-1)リスクアセスメントの実施時期 2-1-1)「あらかじめ定めた間隔」とは? 2-1-2)戦略サイクルと運用サイクル 2-2)リスクアセスメントのアプロー…

#セキュリティリスク #リスクマネジメント #リスクアセスメント #ISO 31000 #ISO/IEC DIS 27005:2021

情報セキュリティリスクマネジメントについて(2)

リスクマネジメント

ー2.状況の設定ー はじめに 1)状況の設定とは 2)方針策定時に考慮すべき点 2-1)組織及びその内外の状況 2-2)情報セキュリティ方針(その他、組織内の上位方針) 3)方針で明らかにすべき点 3-1)役割と責任 3-2)実施のタイミング 3-…

#セキュリティリスク #リスクマネジメント #ISO 31000 #ISO/IEC DIS 27005:2021

情報セキュリティリスクマネジメントについて(1)

リスクマネジメント

ー1.リスクの定義ー はじめに 1)リスクとは 1ー1)リスクに関する一般的なイメージ 1ー2)情報セキュリティリスクとは? 1ー3)情報セキュリティの目的とは? ① ISMSの実施目的 ② 情報セキュリティ目的 1ー4)情報セキュリティリスクマネジメン…

#セキュリティリスク #リスクマネジメント #ISO 31000 #ISO/IEC DIS 27005:2021

セキュリティ侵害を表す用語とIoCについて

リスクマネジメント

はじめに 各用語の使用例 解釈した内容 Exposure Intrusion Breach Compromise Indicators of Compromise(IoC)について 偵察フェーズ 侵入フェーズ 遠隔操作フェーズ 横展開フェーズ 探索フェーズ 目的実行フェーズ まとめ 参考資料 脚注 はじめに セキュ…

#exposure #breach #intrusion #compromise #セキュリティ #インシデント #NIST SP800-53 Rev.5

セキュリティ上の「多層防御」について

CISSP関連知識 リスクマネジメント

はじめに 多層防御とは? 具体的な実施例 1.攻撃シナリオに基づく多層防御 2.管理策の種別に基づく多層防御 3.管理策の機能に基づく多層防御 4.具体的な実施例 多重防御について まとめ 参考資料 脚注 はじめに セキュリティリスクに対応するための…

#CISSP #セキュリティ #多層防御 #管理策

ベースライン管理策(セキュリティベースライン)について

CISSP関連知識 リスクマネジメント

はじめに ベースライン管理策とは? 背景 組織内標準での位置付け 具体的な実施例 1.参照するベースラインカタログの選択 2.管理策のテーラリング(tailoring) 2-1.共通管理策の識別と指定 2-2.適用範囲の調整(scoping) 2-3.代替管理策の…

「risk acceptable(受容可能なリスク)」 と「risk tolerable(許容可能なリスク)」の違いについて

リスクマネジメント

はじめに "risk acceptable" と "risk tolerable" の各文献での取り扱い ISO Guide 73 ALARP principle 結果 まとめ 参考資料 脚注 はじめに 海外のセキュリティ関連のガイドラインでは、リスク(特に残留リスク)を保有する場合、"risk acceptable" と "ris…

#ISO Guide 73 #ALARP #リスクマネジメント #リスク受容