2002年の米国SOx(Sarbanes-Oxley)法は、営利企業の幅広い基本的な情報セキュリティ原則に対応し、CIA(機密性)の概念に基づいて、その機能が根付いて一貫して適用されるようにします。 、整合性、および可用性)。
これらの目標を達成するには、多くの個人からのコミットメントが必要です。企業資産の安全な状態を維持し、ポリシー、手順、標準、ガイドラインを理解し、職務に伴う損失の可能性を理解するという彼らの責任。
CIAは、ビジネス戦略、目標、使命、および目的の調整が、上級管理職のデューデリジェンス、およびリスクとコストに対する許容度を考慮して承認されたセキュリティ管理によってサポートされるようにすることを目的としています。
PostgreSQLデータベースクラスター
PostgreSQLサーバーは無料で提供される幅広い機能のコレクションを備えており、最も人気のあるDBMS(データベース管理システム)の1つであり、さまざまな社会的および経済的分野の幅広いプロジェクトで採用できます。 。
採用の主な利点は、オープンソースライセンスです。これにより、IT管理者が原因で、許可されたライセンスの数を誤って超えた可能性がある組織内の著作権侵害に関する懸念がなくなります。
PostgreSQLの情報セキュリティの実装(組織のコンテキストから)は、事業継続計画のすべての側面をカバーする慎重に構築され、均一に適用されたセキュリティポリシーと手順なしでは成功しません。
BCP(事業継続計画)
リーダーシップは、BCPプログラムを開始する前に同意して、期待される成果物と、適切に保護するために十分な注意を払っていないと判断された場合の個人的な責任(財政的および刑事的)を確実に理解する必要があります。組織とそのリソース。
上級管理職の期待は、ポリシーを通じて伝達され、セキュリティ担当者によって開発および維持され、手順を確立し、標準、ベースライン、およびガイドラインを順守し、次のようなSPoF(単一障害点)を発見する責任があります。システム全体が安全かつ確実に機能することを危うくします。
これらの潜在的な破壊的イベントの分類は、BIA(Business Impact Analysis)を使用して行われます。これは、次の順次アプローチです。資産とビジネスプロセスを特定し、それぞれの重要度を判断し、復旧の時間感度に基づいてMTD(Maximum Tolerable Downtime)を見積もり、最後に復旧目標を計算します。 RTO(目標復旧時間)およびRPO(目標復旧時点)。目標を達成するためのコストと利益を考慮します。
商業企業は通常、身元調査を専門とする外部の会社を雇って、将来の新入社員の詳細情報を収集し、確かな仕事の記録で採用マネージャーを支援し、教育の学位と認定、犯罪歴、および参照を検証しますチェック。
運用システムは時代遅れであり、パスワードが貧弱であるか、書き留められています。これは、ネットワークやソーシャルエンジニアリングを通じて、権限のない個人が脆弱性を見つけて組織の情報システムを攻撃する多くの方法のほんの一部です。
組織が採用しているサードパーティのサービスも、特に従業員が適切なセキュリティ手順を使用するように訓練されていない場合、脅威となる可能性があります。彼らの相互作用は、情報開示を防ぐために強力なセキュリティ基盤に根ざしている必要があります。
最小特権とは、ユーザーが仕事をするために必要なアクセス権のみをユーザーに付与することを指し、それ以上は許可しません。一部の従業員(職務に基づく)は、より高い「知る必要のある」アクセス権を持っています。したがって、ワークステーションを継続的に監視し、セキュリティ標準を最新のものにする必要があります。
COSO(トレッドウェイ委員会のスポンサー組織委員会)
不正な財務報告につながる原因となる要因を調査し、以下の推奨事項を作成した、米国(米国)の不正な財務報告に関する全国委員会を後援するために1985年に設立されました。公開会社、その監査人、SEC(証券取引委員会)、その他の規制当局、および法執行機関。
ITIL(情報技術インフラストラクチャライブラリ)
英国政府の文房具事務所によって構築されたITILは、一連の書籍で構成されるフレームワークであり、コア運用プロセス、インシデントと可用性の管理、財務上の考慮事項など、組織のITの特定のニーズに対するベストプラクティスを示しています。
COBIT(情報および関連技術の管理目標)
ITGI(IT Governance Institute)によって公開されたCOBITは、ビジネスニーズに合わせて、効率、有効性、CIA、信頼性、コンプライアンスの調査を含むIT管理の全体的な構造を提供するフレームワークです。 ISACA(Information Systems Audit and Control Association)は、COBITに関する詳細な指示と、CISA(Certified Information Systems Auditor)などの世界的に認められた認証を提供します。
ISO / IEC 27002:2013(国際標準化機構/国際電気標準会議)
以前はISO/IEC 17799:2005として知られていたISO / IEC 27002:2013には、次のような情報セキュリティ管理をカバーする、組織向けの詳細な手順が含まれています。ポリシー、コンプライアンス、アクセス制御、運用とHR(Human Resources)のセキュリティ、暗号化、インシデントの管理、リスク、BC(Business Continuity)、資産など。ドキュメントのプレビューもあります。
VERIS(イベント記録とインシデント共有の語彙)
GitHubで利用可能なVERISは、継続的に開発されているプロジェクトであり、組織が有用なインシデント関連情報を収集し、匿名で責任を持って共有し、VCDB(VERISコミュニティデータベース)を拡張するのを支援することを目的としています。ユーザーの協力により、リスク管理の優れたリファレンスが作成され、年次報告書であるVDBIR(Verizon Data BreachInvestigation Report)に変換されます。
OECDガイドライン(経済協力開発機構)
OECDは、世界中のパートナーと協力して、多国籍企業のRBC(Responsible Business Conduct)を推進し、PII(個人情報)で個人のプライバシーを確保し、企業がデータを保持および維持する方法の原則を確立しています。
NIST SP 800シリーズ(米国国立標準技術研究所特別刊行物)
US NISTは、CSRC(Computer Security Resource Center)で、データベースを含むあらゆる種類のトピックをカバーするサイバーセキュリティの出版物のコレクションを提供しています。データベースの観点から最も重要なものは、SP800-53リビジョン4です。
SOxの目標を達成することは、制限されていない組織であっても、多くの組織にとって日常的な関心事です。会計活動に。企業のセキュリティ担当者向けの指示と内部統制を含むフレームワーク、および機密データの破壊、改ざん、開示を防止するためのソフトウェアを用意する必要があります。