セキュリティガバナンスは組織の目標や目的に沿ったものでないといけない。

セキュリティを担保するためには、しかるべきポリシー、関係者がトレーニングを受けて、しかるべき行動をとるように管理する必要がある。

セキュリティとビジネス戦略

そもそもビジネスをやる上でセキュリティは必須項目ではない。

経営者は、デューケアと、デューデリジェンスを行う義務がある。

そのために、目標の優先順位づけ、目標達成のための戦略、計画の進行、ポリシーの設定を行う。

セキュリティに従事する者は以上のことを理解した上で、組織の目標達成のためにセキュリティでどんな力になれるかを考えて行動する必要がある。

社内の情シスにいる方なんかは、会社のセキュリティ強化という目標のもと、新しいセキュリティソリューションを導入したり、セキュリティに強い人材を補強したりしようと考える。

なんてこともあるかと思いますが、CISSPではまず第一に経営者、その会社の目標や経営状況に基づいて行動する必要があるということ。

セキュリティ強化するのもお金かかるんだよなぁ。

ガバナンス

ガバナンスとは組織を運営するためのプロセスであり、組織によってまちまちである。

何か承認してもらうにも、ベンチャーとかは直接社長に話して、即承認とかあるかもしれませんが、大企業だと色々な人が承認しなければならず時間がかかるなんてことも。

会社の方針がセキュリティに影響するケースもあり、買収されたり、合併、子会社設立なんてことがあると、セキュリティは大きく影響される。

確かに買収なんてされたら、買収した側の会社のポリシーを適用しなければならず、データの扱い方が変わるなんてことは大いにありますね。

法的環境

組織のコンプライアンスを維持する責任は法務部にある。

セキュリティ専門家は技術的観点からコンプライアンス維持に務める。

監査などを受ける場合は主体となるのは組織の法務の方だと思いますが、普段のセキュリティ施策やデータの取り扱いなどはセキュリティ専門家が答えるケースなど。

プライバシー

プライバシーは基本的人権とみなされている。

一般データ保護規則(GDPR):2018年に欧州連合から発表されたデータ保護規則。
日本にいるなら関係ないじゃんと思う方もいるかもしれないが、EUにある会社と取引があったり、EUに支店がある会社などは、GDPRに則って個人情報を取り扱わなければならない。

忘れられる権利:忘れられる権利とはGDPRが定める法的権利であり、EU域内の個人が自身の個人データの削除を要求することができる。アルゼンチンやブラジル、韓国などでも導入されている。

GDPRプライバシー原則

  • 適法性、公正性、透明性:合理的かつ公正な方法で収集、使用、保存、破棄されなければならない
  • 目的の制限:データは明示的かつ合法的な目的のために収集される
  • データの最小化:収集されるデータは必要最小限でなければならない
  • 正確性:データは正確性を保持しながら、収集、保存、使用されなければならない
  • 保存の制限:データは必要な期間を超えて保持されてはいけない
  • 完全性と機密性:データは改ざんされてはならず、データが流出されてもならない

問題

次のうち、GDPRプライバシー原則にないのはどれか?

1.収集されるデータは必要最小限でなければならない

2.データは必要な期間を超えて保持されてはいけない

3.個人は自身の個人データの削除を要求することができる

4.データは正確性を保持しながら、収集、保存、使用されなければならない

  

ごっちゃになりがちですが、忘れられる権利はプライバシーに関する法律の一部として含まれており、GDPRプライバシー原則ではない。

よって正解は3。