GRC - ガバナンス、リスク、コンフュージョン

最新かつ最高のセキュリティ頭字語、GRC。GRCとは、Governance(ガバナンス)、Risk(リスク)、Compliance(コンプライアンス)、Governance(ガバナンス)、Risk(リスク)、Controls(コントロール)の頭文字を取ったものですが、実際のところはどうなのでしょう。

このテーマに関連する科学的な研究が不足しているため、GRCの専門家を対象とした調査の結果、次のような定義が広く受け入れられています。「GRCとは、組織全体のガバナンス、リスク、コンプライアンスに対する統合的、全体的なアプローチであり、戦略、プロセス、テクノロジー、人材の連携を通じて、組織が倫理的に正しく、リスク選好、内部方針、外部規制に従って行動し、それによって効率と効果を向上させることを保証する。"

このGRCの定義が合理的に合意されたことで、戦略、人材、プロセス、テクノロジーが相互に関連し、倫理的行動や効率性、有効性の向上に関連する「点線」を示す図が数多く作成されました。

そんなに複雑にする必要があるのでしょうか?

ガバナンスとコンプライアンスの観点から、セキュリティフレームワークには数多くの規制基準やガイドラインがあり、これらに限定されるものではありません。

CObIT、FFIEC、PCI-DSS、HIPAA、GLBA、ISO27002(旧ISO17799、BS7799)、MA 201 CMR17、NIST、SOX、MICS

あなたの組織は、これらの基準のうち1つまたは2つに準拠する必要がある可能性が高いですし、最適なアプローチは何ですか?あなたの法的要件や業界の要件に最も適したものを見つけ、適切な管理を実施してください。その際、他の規格と重複する可能性があります。

ここでは、全く異なる4つの規格の論理アクセス制御を重複して扱っている好例が紹介されています。

CObIT DS5.3:取引の存在を裏付けるために、システムのすべてのユーザ(内部および外部の両方)を認証する手順が存在し、それに従っ ていること。

FFIEC 情報セキュリティ、B.ネットワークセキュリティ、目的8:適切な場合、認証されたユーザとデバイスが、システムリソースにアクセスし、取引を開始する能力を制限されていることを決定する。

PCI 7.1:コンピューティングリソースおよびカード会員情報へのアクセスを、業務上そのアクセスを必要とする個人のみに制限する。

HIPAAセキュリティ規則、技術的セーフガード164.312(d)。電子的な保護されるべき健康情報へのアクセスを求める個人または事業体が、請求された本人であることを確認する手順を導入する。

リスクはどのように組み入れられるのでしょうか?ビジネス、収益、評判に関連するリスクを知らずに、どうやって適切に保護することができるでしょうか。関連するリスク(それが人であれ、プロセスであれ、テクノロジーであれ)を完全に理解することは、ガバナンスやコンプライアンス/コントロールを実現しようとする前に、重要な特定と適格性の確認作業となります。

結論として、機能的なGRCプログラムを導入するための最初のステップは、ビジネスインパクト分析を行ってリスクを判断し、業界や組織を支配しているものを見極め、必要な基準を満たすために適切なコンプライアンスとコントロールを適用することです。

この記事のような?

電子メール
Facebookでシェアする
LinkedInで共有する
XINGで共有する

専門家に相談する

「は必須項目

サポートを求めているのでしょうか?

製品サポートをご希望の方は、こちらからサポートセンターにログインしてください。

まず、お名前をお聞かせください。*
このフィールドは検証のためのものであり、変更しないままにしておく。

プライシングリクエストを送信する

「は必須項目

まず、お名前をお聞かせください。*
このフィールドは検証のためのものであり、変更しないままにしておく。

RFPリクエストの送信

「は必須項目

まず、お名前をお聞かせください。*
RFPでは、どのソリューションについての回答が求められているのでしょうか。*
ここにファイルをドロップするか
使用可能なファイル形式:pdf、doc、docx、最大ファイルサイズ:1MB、最大ファイル数:1.4.
    このフィールドは検証のためのものであり、変更しないままにしておく。

    リアルクッキーバナーでGDPRクッキーコンセントを実現 本文へスキップ