CISO基礎講座 リスク管理とBCP

組織の情報セキュリティ責任者が知っておくべき、事業継続のためのリスク管理手法を学びます。
既に知られているように、情報セキュリティとは、情報の機密性、完全性、可用性の観点から、結局のところビジネスにとって最も重要な財産を保護することです。
この2日間のコースでは、CISO(最高情報セキュリティ責任者)は自身の組織のリスクを評価し管理することを学び、予期せぬ事象への計画を立てます。
組織のガバナンス体制の構築やセキュリティポリシー作成を扱う「CISO基礎講座 ガバナンスとポリシー」も併せて御受講されることをお勧めします。


CPEクレジット申請可能

CISSP資格をお持ちの方は、12ポイントが申請可能です。

 


 

前提知識

「情報セキュリティ基本コース」か、EXIN情報セキュリティエッセンシャルズ試験合格と同等の知識を必要とします。


受講対象者

  • CISO(最高情報セキュリティ責任者)もしくは同様の職務につき、以下のような知識を必要としている方
  • 適切な事業継続性戦略を含み、リスクを決定し管理する方法
  • リスク管理およびBCP / DRP(事業継続計画/災害復旧計画)の概念
  • セキュリティ実務者としてリスク管理のことをより深く理解したい方
  • 事業継続戦略のについての理解を深めたい方

学習目的

  • リスク管理、事業継続計画/災害復旧計画と関係するモデル/フレームワークを認識する
  • リスク・シナリオを定量的・定性的に分析・評価するプロセスを知る
  • リスク対応計画およびBCP / DRPドキュメントに期待される内容を知る

受講によるメリット

  • 潜在的なリスク対応とリスク・レベルに応じたBCP / DRP戦略の範囲を認識できる
  • ビジネス影響分析インタビューのプロセスとその規模を見積るプロセスを理解できる
  • 投資要件を分類できる

主な内容

第1章 事業継続とリスク管理の位置付け

  • リスク管理を説明します。
  • セキュリティ、事業継続管理、リスク管理の関係を議論します。
  • リスクの用語を定義します。
  • リスクの方程式を説明します。
  • BCP / DRP(事業継続計画/災害復旧計画)に関連する重要な用語を定義します。
  • ビジネス戦略での回復力を決めます。
  • 応答戦略のタイプを説明します。
  • リスク管理と法令順守でのガバナンスの役割を説明します。

 

第2章 リスク管理と事業継続計画の重要性

  • リスク管理の重要性とBCP / DRPがどのような場合に求められるかを議論します。
  • リスク管理と事業継続計画へのビジネス上の考慮事項と推進案を示します。
  • どの推進案が合うか決めます。

 

第3章 プロセスでのリスク管理

  • フレームワーク、参照モデル、標準の目的について説明します。
  • 可能なリスク管理モデルあるいはガイドとなるフレームワークを示します。
  • 環境内でのBCP / DRPフレームワークを比較します。
  • リスク管理のライフ・サイクルについて説明します。
  • リスク評価、危険分析およびビジネス影響分析を区別します。
  • トレーニングや計画のアップデートの現状のニーズを推進します。
  • リスク管理に関与する活動を定義します。
  • リスク管理チーム用に、責任および潜在的な要素を示します。
  • BCP / DRPの開発および維持に関与する活動を定義します。
  • BCPチーム用に、責任および潜在的な要素を示します。
  • 役員承認を得るための提案要素を説明します。
  • ステイクホルダーとその懸念事項を示します。

 

第4章 ビジネス・インパクト分析(どこにフォーカスするか)

  • ビジネス・インパクト分析プロジェクトを実行するステップを示します。
  • データ収集インタビューを行なうステップについて説明します。
  • BIA(事業インパクト分析)インタビュー成功させる方法について説明します。
  • ビジネス・インパクトと復旧条件の分析用語を定義します。
  • クリティカル・ビジネス機能の復旧要件を見積り、文書化するプロセスを説明します。

 

第5章 リスク評価(潜在する脅威と脆弱性)

  • リスク評価チームの要件を示します。
  • BIAに基づいて、評価目標を選択する方法を説明します。
  • リスク評価プロジェクトのステップを概説します。
  • 評価の範囲を定義します。
  • 評価活動計画(インタビューおよび脆弱性調査)に何が含まれるかを示します。
  • 資料収集方法を比較します。
  • リスク評価方法とツールを比較します。
  • 評価結果の文書化に望まれるものを示します。
  • リスク評価者であることを軽減するステップを示します。

 

第6章 リスク分析(どのくらいのインパクトか)

  • 定量的・定性的リスク分析を比較します。
  • 定量的リスクを計算する方法について説明します。
  • 可能性のレベルを定義します。

 

第7章 リスク対応計画の文書化(資産保護の方法)

  • リスク管理戦略を定義します。
  • 分析結果に適切なリスク対応計画の選択方法を説明します。(物理的、技術的、社会的)
  • リスク管理ニーズをレビューする方針を文書化する重要性について説明します。

 

第8章 回復計画(ビジネス継続方法)

  • 業務継続計画書の章立てを示します。
  • BCPの基礎となっている計画を説明します。
  • 他のBC関連の計画とその内容を示します。
  • BCPに対しての災害復旧計画を設定します。
  • 災害復旧計画の重要項目を示します。
  • 会社の災害復旧計画を比較します。
  • 冗長性と維持のレベルを比較します。
  • 復旧チームの役割と責任を示します。
  • 文書の配布と有用性を最適化します。

 

第9章 リスク対応計画の実行

  • リスク、BCP、DRPを横断してプロジェクト要件を統合化します。
  • 組織横断でリスク対策を実行するプロジェクト管理のベスト・プラクティスを示します。
  • セキュリティ・インシデント発生中に取るステップについて説明します。
  • セキュリティ・インシデント報告書の項目を示します。
  • 何がインシデントを構成するかを示します。
  • インシデントに関係する証拠を集めるプロセスを説明します。

 

第10章 フェールバック

  • 元のシステムに戻ろうとするときに、何が起こるか議論します。
  • ビジネス有効性の改良や回復の機会を評価します。
  • ステップを説明します。

 

第11章 リスク管理実施の監査とBCP手順のテスト

  • 監査と評価を区別します。
  • 監査の特性を定義します。
  • 監査実施の適切な時期を説明します。
  • 監査プロセスで要求される証拠を予測します。
  • リスク管理監査、法令順守監査およびBCPテストを比較します。
  • BCP / DRP のテスト・レベルを説明します。

 

第12章 まとめとケース・スタディ

  • 受講者の知識のテスト
  • 与えられたデータを元に、適切なリスク戦略を設計します。

 

第13章 事業継続計画-次のステップ

  • 会社の現在の立ち位置を把握する的確な質問を投げ掛けます。
  • 管理で経営継続性を計画するニーズを援護します。
  • どのくらい必要とし取得するかを決めます。

コース(受講料)に含まれるもの

  • 研修テキスト
  • 昼食
  • 受講証明書 (後日メールにてPDFデータでのお渡しとなります)

 

※本コースは日本ヒューレット・パッカード株式会社主催コースです。