CISO基礎講座
ガバナンスとポリシー

組織の情報セキュリティ責任者が、統括する組織に効果的なセキュリティ・ガバナンスを構築できるようになります。
受講者は、コンプライアンス基準および業界標準のベストプラクティス(フレームワーク)に則った、適切なセキュリティ・ポリシーの作成について学習します。このコースはSecurity+とCISSP認定試験の準備ともなります。
本コースの受講前に「情報セキュリティ基本コース」及び非常時における組織の事業継続性管理を扱う、「CISO基礎講座 リスク管理とBCP」を受講されることをお勧めします。


CPEクレジット申請可能

CISSP資格をお持ちの方は、6ポイントが申請可能です。

 


 

前提知識

  • 「情報セキュリティ基本コース」か、EXIN情報セキュリティエッセンシャルズ試験合格と同等の知識
  • 「CISO基礎講座 リスク管理とBCP」の受講

受講対象者

  • 会社のセキュリティ担当者、もしくは管理者で組織全体のセキュリティ戦略を策定し、マネジメントからのサポートを得る必要のある方
  • セキュリティポリシーの概念や、セキュリティポリシーの策定を行うための手順・手法を知りたいIT専門家
  • 将来CISSPやSecurity+などの資格取得をお考えの方

学習目的

  • セキュリティポリシーとガバナンスの必要性を認識する
  • 一般的な企業の脆弱性と予防手段を学ぶ

受講によるメリット

  • 適切なセキュリティ戦略を選ぶことができる
  • セキュリティの基本に基づいてポリシーを開発することができる
  • 投資条件をカテゴリー化できる

主な内容

このコースでは以下のトピックを扱います: (内容は変更となる場合がございます)

イントロダクション

  • セキュリティポリシーとガバナンス
  • ロジスティックス
  • 受講者プロファイル
  • 認定用語

 

1.情報セキュリティ

  • セキュリティは製品が10%、プロセスが90%
  • サイバー犯罪のコスト
  • 米国、カナダ、APECにおける指令と法律
  • EU加盟国のデータ機密指令
  • CIA:機密性(Confidentiality)、一貫性(Integrity) 可用性(Availability)
  • リスク
  • ビジネス・インパクト分析
  • 脅威と脆弱性
  • 対抗策
  • 資産価値の決定

 

2. セキュリティ戦略の決定

  • セキュリティ戦略とビジネス
  • コンプライアンス要件:HIPAAセキュリティ規則
  • ケース・スタディ
  • 企業ミッション、企業文化と、セキュリティ戦略・ 政策の関係
  • ビジネス要件にセキュリティとリスクの概念を適用
  • セキュリティ戦略を構築するためにビジネス要件を精査
  • セキュリティ・ガバナンス戦略開発プロセス

 

3. セキュリティ・ガバナンス

  • セキュリティポリシーとガバナンス
  • 競合上の優位となる強いセキュリティ
  • 価値を明確にする
  • 最高セキュリティ・オフィサーの役割
  • セキュリティ計画成功のための中の上級管理職の役割
  • その他の重要な役割:チーム構築

 

4. セキュリティポリシーの構造

  • 良いセキュリティポリシーの属性
  • ポリシーと政策との間の差
  • コンプライアンス
  • HIPAAセキュリティ規則
  • PCIデータ・セキュリティ標準
  • EU指令 2009/136/EC
  • IT Act 2000 インド
  • ポリシー開発における規則対応の役割

 

5. セキュリティ戦略でのポリシー

  • ポリシーでのSANSトップ10(SANS Institute:政府や企業・団体間における研究、及びそれらに所属する
    人々のITセキュリティ教育を目的として1989年に設立された組織(本部:米国ワシントンDC))
  • 取り組み開始時用のセキュリティポリシー
  • 受け入れ可能利用ポリシー
  • ネットワーク・アクセスポリシー
  • リモート・アクセスポリシー
  • 個人デバイスポリシー
  • リスク評価ポリシー
  • 不測事態対応ポリシー
  • 物理的セキュリティポリシー
  • アクセス制御ポリシー
  • データ保持・廃棄ポリシー
  • コンプライアンスの6つの法律
  • 特定のポリシーへの準拠の影響
  • どのセキュリティポリシーがあなたの会社に必要か

 

6. ポリシー作成フレームワーク

  • なぜフレームワークを使用するのか
  • 複数からなるポリシーを組み立てるフレームワーク
  • フレームワークとしてのISC(2) 10ドメイン
  • ISO 17799:2000(E)
  • PCI
  • ISO27001
  • フレームワークとしての業界基準ベスト・プラクティスを使用しての基礎的なセキュリティポリシーの開発

 

7. セキュリティ・ファウンデーションとしての締め括り

  • リスク
  • 事業継続性計画
  • 次のステップ
  • セキュリティガバナンス戦略の開発
  • 企業のセキュリティ戦略開発ガイド
  • 戦略をポリシーの形で文書化
  • ニュースを広げる

コース(受講料)に含まれるもの

  • 研修テキスト
  • 昼食
  • 受講証明書 (後日メールにてPDFデータでのお渡しとなります)

 

※本コースは日本ヒューレット・パッカード株式会社主催コースです。