OPS01-BP03 ガバナンス要件を評価する
特定のことに焦点を置くように求め、その焦点を強調する組織の定義したガイドラインや義務を把握します。組織のポリシー、標準、要件などの内部要因を評価します。ガバナンスへの変更を識別するメカニズムがあることを検証します。ガバナンス要件が特定されていない場合は、必ずこの決定にデューデリジェンスが適用されていることを確認してください。
一般的なアンチパターン:
-
あなたは、監査中であり、社内のガバナンスへのコンプライアンスの証拠を提供するよう求められています。あなたは、自らのコンプライアンス要件が何かを評価したことがないため、遵守しているかどうかがわかりません。
-
あなたはセキュリティ侵害の被害に遭い、その結果、金銭的な損失が発生しました。あなたは、金銭的な損失をカバーしたであろう保険が、未実施の、またはガバナンスによって要求されていない、特定のセキュリティに関する統制の実施を条件としていることがわかりました。
-
あなたの管理アカウントが侵害され、その結果、会社のウェブサイトが改ざんされ、顧客の信頼が損なわれました。社内のガバナンスでは、管理アカウントのセキュリティを確保するために多要素認証 (MFA) の使用が要求されています。あなたは、管理アカウントを MFA で保護していなかったため、懲戒処分の対象となりました。
このベストプラクティスを活用するメリット: 組織がワークロードに適用するガバナンス要件を評価し、理解することで、ビジネス価値を実現するためにどのような優先順位で注力すべきかを知ることができます。
このベストプラクティスを活用しない場合のリスクレベル: 高
実装のガイダンス
-
ガバナンス要件の理解: プログラムまたは組織のポリシー、プログラムポリシー、問題またはシステム固有のポリシー、標準、手順、ベースライン、ガイドラインなどの社内のガバナンスの要素を評価します。ガバナンスへの変更を識別するメカニズムがあることを検証します。ガバナンス要件が特定されていない場合は、必ずこの決定にデューデリジェンスが適用されていることを確認してください。
リソース
関連するドキュメント:
