脅威とリスクの識別
脅威とリスクの識別
この業務の関連項目
この業務に関連する業務領域
自社向け情報システム開発・保守・運用
自社向けシステムの開発・保守・運用を担う部門(IT/非IT企業の情報システム部門)に関連するタスク
コンサルタント(情報リスクマネジメント)
以下の業務を遂行する人材に必要なタスク ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。
セキュリティアドミニストレータ(情報セキュリティアドミニストレータ)
以下の業務を遂行する人材に必要なタスク 自社の情報セキュリティ戦略やポリシーの策定等を推進する役割。戦略策定のほか、戦略実行体制の確立や開発組織の統括も担う。また、企業内のセキュリティ業務全体を俯瞰し、アウトソース等のリソース配分の判断・決定も行う。
セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)
以下の業務を遂行する人材に必要なタスク 自社の情報セキュリティ対策の具体化や実施を統括する役割。企業全体としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込み、対策の立案や実施(指示・統括)、その見直しなどを行う。また、利用者に対する教育等も実施する。
セキュリティマネージャ(組込みセキュリティ)
製品に関するリスク対応の観点に基づき、機能安全を含む製品のセキュリティの側面から、企画・開発・製造・保守などにわたるセキュリティライフサイクルを統括し責任をもつ人材に必要なタスク
ITスペシャリスト(セキュリティ)
情報システムの設計・開発・運用において、情報セキュリティに関する高い専門性を発揮するスペシャリストに必要なタスク セキュリティインシデントが発生した際は、高度な技術的スキルを駆使して原因の究明や復旧対応等も担う。
情報セキュリティマネジメント
情報システムの利用部門において、部門の情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する。
情報セキュリティ統括
企業の経営戦略に基づき、情報資産に対する社内外からの脅威やリスクへの対応に責任を持つ。
情報リスクストラテジ
自組織または受託先における業務遂行の妨げとなる情報リスクを認識し、その影響を抑制するための、組織体制の整備や各種ルール整備等を含む情報セキュリティ戦略やポリシーの策定等を推進する。自組織または受託先内の情報セキュリティ対策関連業務全体を俯瞰し、アウトソース等を含むリソース配分の判断・決定を行う。
セキュア開発管理
情報システムや製品に関するリスク対応の観点に基づき、機能安全を含む情報セキュリティの側面から、企画・開発・製造・保守などにわたる情報セキュリティライフサイクルを統括し、対策の実施に関する責任をもつ。
脆弱性診断
ネットワーク、OS、ミドルウェア、アプリケーションがセキュアプログラミングされているかどうかの検査を行い、診断結果の評価を行う。
情報セキュリティアドミニストレーション
組織としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込むとともに、対策の立案や実施(指示・統括)、その見直し等を通じて、自組織または受託先における情報セキュリティ対策の具体化や実施を統括する。また、利用者に対する情報セキュリティ啓発や教育の計画を立案・推進する。
情報セキュリティアナリシス
情報セキュリティ対策の現状に関するアセスメントを実施し、あるべき姿とのギャップ分析をもとにリスクを評価した上で、自組織または受託先の事業計画に合わせて導入すべきソリューションを検討する。導入されたソリューションの有効性を確認し、改善計画に反映する。
CSIRTコマンド
自組織で起きている情報セキュリティインシデントの全体統制を行うとともに、事象に対する対応における優先順位を決定する。重大なインシデントに関してはCISOや経営層との情報連携を行う。また、CISOや経営者が意思決定する際の支援を行う。
自社向けシステムの開発・保守・運用を担う部門(IT/非IT企業の情報システム部門)に関連するタスク
コンサルタント(情報リスクマネジメント)
以下の業務を遂行する人材に必要なタスク ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。
セキュリティアドミニストレータ(情報セキュリティアドミニストレータ)
以下の業務を遂行する人材に必要なタスク 自社の情報セキュリティ戦略やポリシーの策定等を推進する役割。戦略策定のほか、戦略実行体制の確立や開発組織の統括も担う。また、企業内のセキュリティ業務全体を俯瞰し、アウトソース等のリソース配分の判断・決定も行う。
セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)
以下の業務を遂行する人材に必要なタスク 自社の情報セキュリティ対策の具体化や実施を統括する役割。企業全体としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込み、対策の立案や実施(指示・統括)、その見直しなどを行う。また、利用者に対する教育等も実施する。
セキュリティマネージャ(組込みセキュリティ)
製品に関するリスク対応の観点に基づき、機能安全を含む製品のセキュリティの側面から、企画・開発・製造・保守などにわたるセキュリティライフサイクルを統括し責任をもつ人材に必要なタスク
ITスペシャリスト(セキュリティ)
情報システムの設計・開発・運用において、情報セキュリティに関する高い専門性を発揮するスペシャリストに必要なタスク セキュリティインシデントが発生した際は、高度な技術的スキルを駆使して原因の究明や復旧対応等も担う。
情報セキュリティマネジメント
情報システムの利用部門において、部門の情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する。
情報セキュリティ統括
企業の経営戦略に基づき、情報資産に対する社内外からの脅威やリスクへの対応に責任を持つ。
情報リスクストラテジ
自組織または受託先における業務遂行の妨げとなる情報リスクを認識し、その影響を抑制するための、組織体制の整備や各種ルール整備等を含む情報セキュリティ戦略やポリシーの策定等を推進する。自組織または受託先内の情報セキュリティ対策関連業務全体を俯瞰し、アウトソース等を含むリソース配分の判断・決定を行う。
セキュア開発管理
情報システムや製品に関するリスク対応の観点に基づき、機能安全を含む情報セキュリティの側面から、企画・開発・製造・保守などにわたる情報セキュリティライフサイクルを統括し、対策の実施に関する責任をもつ。
脆弱性診断
ネットワーク、OS、ミドルウェア、アプリケーションがセキュアプログラミングされているかどうかの検査を行い、診断結果の評価を行う。
情報セキュリティアドミニストレーション
組織としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込むとともに、対策の立案や実施(指示・統括)、その見直し等を通じて、自組織または受託先における情報セキュリティ対策の具体化や実施を統括する。また、利用者に対する情報セキュリティ啓発や教育の計画を立案・推進する。
情報セキュリティアナリシス
情報セキュリティ対策の現状に関するアセスメントを実施し、あるべき姿とのギャップ分析をもとにリスクを評価した上で、自組織または受託先の事業計画に合わせて導入すべきソリューションを検討する。導入されたソリューションの有効性を確認し、改善計画に反映する。
CSIRTコマンド
自組織で起きている情報セキュリティインシデントの全体統制を行うとともに、事象に対する対応における優先順位を決定する。重大なインシデントに関してはCISOや経営層との情報連携を行う。また、CISOや経営者が意思決定する際の支援を行う。
この業務に関連する評価項目
現状の脅威に関する情報を網羅的に収集する
現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する
情報資産に対する現状のリスク(システム廃棄を含む)を識別する
リスクの発生しうる場所および発生時期を整理する
リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する
現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する
情報資産に対する現状のリスク(システム廃棄を含む)を識別する
リスクの発生しうる場所および発生時期を整理する
リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する