<ポリシー、スタンダード、プロシージャ、ガイドライン>
CISSP試験では恐らく、必ず出題されてるのでは?というくらいポイントとなる今回のテーマ!個人的には以下を丸暗記さえしておけば、本番でこのテーマの問題が出た際に「勝った!」と思えるのではないでしょうか。( ´∀` )
「覚えるべき内容」
・ポリシー:「戦略的」とか説明されている参考書が多いですが「こうありたい!」という理想論だとイメージしておけばOKです。
具体例:当社ではお客様から預かるデータを安全に保護する
・スタンダード:これはポリシーという理想論を実現するために「*最低限これだけはやる!」という言わば理想を形にするための決まり事だとイメージしておけばOKです。
具体例:お客様から預かるデータはAESによる暗号化の上、特定サーバのみに保管する
・プロシージャ:これはスタンダードで少し具体化されたやるべき施策を実装する方法だとイメージしてください。
具体例:特定サーバにログインする>管理コンソールのタブから「HDD」を選択>暗号化のタブを選択し、暗号化種類をAESにする>完了を選択する。←みたいな手順書だと考えてください!
・ガイドライン :これは深入り不要です。ポリシー、スタンダード、プロシージャのどこにも書いてないことで困ったときにみるお助けブックとでも覚えておけばOKです!
・最後に:「*最低限これだけはやる!」という全社的な共通の基準を【ベースライン】といいます。
※セキュリティでは最もセキュリティの弱いレベルがその組織のセキュリティレベルとなるとも言われるように、このセキュリティ最低ライン(=ベースライン)をどの程度高く保つのかは日常のセキュリティでも非常に重要な要素になります。
今回は以上です!!