情報セキュリティとサイバーセキュリティは、しばしば同じ意味で使われますが、明確な違いもあります。情報セキュリティとは、情報と情報システムを不正アクセス、使用、開示、中断、変更、破壊から保護する実践です。これには、データとシステムの機密性、整合性、可用性の保護が含まれ、自然災害、人為的ミス、意図的な攻撃など、さまざまな脅威からの保護に関係します。
一方、サイバーセキュリティは、マルウェア、ランサムウェア、フィッシング攻撃、ハッキングなどのデジタル脅威からの保護に特に重点を置いています。これには、ネットワーク、デバイス、データをこれらの脅威から保護するためのテクノロジー、プロセス、ポリシーの使用が含まれます。サイバーセキュリティは情報セキュリティのサブセットですが、情報保護のデジタル側面に重点が置かれる傾向があります。
要約すると、情報セキュリティはあらゆる種類の情報とシステムの保護をカバーする幅広い用語ですが、サイバーセキュリティはデジタル脅威からのコンピュータシステムとネットワークの保護に特に重点を置いています。"
リスクは、私たちが行うすべてのことの一部です。私たちはみな、多くの場合、気付かないうちに、毎日リスクを管理しています。私たちは常に変化する世界に住んでおり、変化のペースは加速しています。これには不確実性が伴い、その不確実性が新たな機会とリスクをもたらします。私たちがそれらをどのように管理するかは、目標の達成、サービス提供の改善、費用対効果の達成、望ましくない驚きの削減に役立つため、これまで以上に重要になっています。
私たちは、リスクを効果的に管理することの価値を信じています。リスク管理は、ビジネス上の意思決定に情報を提供し、貴重なリソースをより効果的に使用し、戦略およびビジネス計画を強化し、緊急時対応計画を強化します。
これらはいずれも、支援的なリスク文化なしには実現できません。オープンさを奨励し、実際のビジネス上の問題を現実的な方法で議論するポジティブなリスク文化は、効果的なリスク管理に絶対に不可欠です。取締役会から下まで、誰もがそのリスク文化を確立し維持する上で明確な役割を担っています。
現在、米国諜報コミュニティ (IC) が「商業的に入手可能な情報」(CAI) と呼ぶものが大量に存在し、その量は増加しています。頭字語が示すように、またこのレポートでこの用語を使用しているように、CAI は一般大衆が商業的に入手可能な情報であり、したがって公開情報 (PAI) のサブセットです。政府のみが利用できる商業情報は CAI という用語には含めず、このレポートでも取り上げません。CAI の量と機密性は近年拡大していますが、これは主にスマートフォンやその他の電子機器の位置追跡機能などのデジタル技術の進歩、およびインターネットで利用できる多くの商用サービスの基盤となっている広告ベースの収益化モデルによるものです。CAI は「匿名化」されている場合もありますが、米国人を含む個人を (他の CAI を使用して) 匿名化解除して特定することは多くの場合可能です。
サイバー評価フレームワーク (CAF) は、重要な機能に対するサイバーリスクが責任組織によってどの程度管理されているかを評価するための体系的かつ包括的なアプローチを提供します。CAF ベースの評価は、責任組織自身 (自己評価) または独立した外部組織 (規制当局 / サイバー監視機関、または NCSC 保証の商用サービス プロバイダーなど、規制当局に代わって活動する適切な資格を持つ組織) によって実行できます。NCSC CAF のサイバー セキュリティとレジリエンスの目標と原則は、CAF の基礎となります。4 つの高レベルの目標と 14 の原則は、成果の観点から記述されています。つまり、実行する必要があることのチェックリストではなく、達成する必要があることの仕様です。CAF は、以下で詳しく説明するように、構造化された一連の優良事例指標 (IGP) のコレクションなど、トップレベルの原則に詳細レベルを追加します。
0 件のコメント:
コメントを投稿