10 A.6.1.A "Is security architecture integrated with the organization's enterprise architecture?
Security architecture should be incorporated into the organization's enterprise architecture.
There is no integration of security architecture with organization 's enterprise architecture.
Security architecture is integrated in an ad hoc way with the organization's enterprise architecture.
Discussions are in progress to formally integrate security architecture with the organization's enterprise architecture.
Security architecture is integrated into the organization's enterprise architecture based on a defined policy.
"The organization continuously reviews the integration of security architecture with the organization's enterprise architecture.
"
"The organization continuously improves the integration of security architecture with the organization's enterprise architecture.
"
11
A.6.1.B
Does the organization follow the principles?
・defense in depth architecture principle
・least privilege architecture principle
・defaults deny principle
・fail secure principle
According to Defense in Depth architecture principle there should be more than one layer of protection when building applications such that the compromise of one layer does not compromise the application.
"
「組織は、継続的に組織のエンタープライズアーキテクチャとセキュリティアーキテクチャの統合を向上させます。
"
11
A.6.1.B
組織は、原則に従うのでしょうか?
·深さ·アーキテクチャ原則の防衛
·最小特権アーキテクチャ原則
·デフォルトは原則を否定します
·安全な原理を失敗
1層の妥協がアプリケーションを損なわないように、アプリケーションを構築する際の防衛による奥行きアーキテクチャ原則的に保護の複数の層があるはずです。
According to Least privilege architecture principle a user or a program should access only minimum information and resources that are needed for its legitimate purpose.
According to defaults deny principle by default everything not explicitly permitted and should be forbidden.
According to fail secure principle information should not be accessible to unauthorized entities in the event of a system failure.
--
These principles are not followed or there is no idea on these principles in the organization.
These principles are followed in ad hoc manner.
-
These principles are followed always but not formally defined in the policy.
-
These principles are formally defined in the policy and followed.
デフォルトによると、デフォルトのすべてによって原理が明示的に許可して禁止されるべきではない拒否。
安全な原則フェイル情報によると、システム障害が発生した場合に不正なエンティティにアクセスできないようにしてください。
-
これらの原則は守られていないか、組織内のこれらの原則にはアイデアがありません。
これらの原則は、アドホックな方法で続いています。
-
これらの原則は常に続くが、正式ポリシーで定義されていません。
-
これらの原則は、正式に、ポリシーで定義され、守られています。
デフォルトによるデフォルト否定原則によると、すべてが明確に許可されず、禁止されるべきでない。
確保できない原則によると、システム誤作動の場合には情報が不認可団体にアクセスできないようにすべきである。
これらの原則は従っていないか、組織内のこれらの原則に関する考えがある。
これらの原則は当面の問題には従っていない。
これらの原則にいつも従っているが、施策として正式に規定されていない。
これらの原則は施策に正式に規定され、これに従っている。
12
A.6.1.C
Is there a process for security risk monitoring?
Risk Monitoring is a process of analyzing and identifying new risks tracking identified risks monitoring residual risks executing risk response plans and evaluating their effectiveness throughout the project.
--
No process for risk monitoring or organization has no idea how to establish process for risk monitoring.
Ad hoc awareness of threats or hazards.
Risk monitoring is implemented in an ad hoc manner.
Basic process is established and documented to monitor potential threats or hazards.
Risk monitoring program uses itinerary data to focus effort. Monitoring is integrated into risk disclosure and notification processes.
Process improvement procedures utilized to ensure continuous improvement of the monitoring process with emphasis on predictive threat identification metrics and lessons learned, captured and used to enhance process.
リスク監視や組織のためのプロセスは、リスク監視のためのプロセスを確立する方法は考えを持っていません。
アドホック脅威や危険の認識。
リスク監視は、アドホックな方法で実装されています。
基本的なプロセスを確立し、潜在的な脅威や危険を監視するために文書化されています。
リスク監視プログラムは、努力を集中する旅程データを使用します。モニタリングは、リスクの開示及び通知プロセスに統合されています。
予測脅威の識別指標と教訓を重視した監視プロセスの継続的な改善を確実にするために利用されるプロセス改善手順は、捕捉され、プロセスを向上させるために使用さを学びました。
当面の問題についての脅威や弊害についての認識
リスク監視は当面の問題について実行されている。
基本的なプロセスは確立されており、潜在的脅威や弊害を監視するよう文書化されている。
リスク監視プログラムは、努力に注目した訪問地のリストデータを使用している。監視はリスク開示と通知プロセスに統合されている。
前兆となる脅威の特定基準やプロセスを強化するために学習しつかみ使用されるレッスンを強調した、監視プロセスの継続的な改善を確保するために使用されるプロセス改善手続き
13
A.6.1.D
Does the organization performs security risk assessment?
A risk assessment should be conducted to quantify and qualify the potential risks facing the organization.
--
There is no evidence of this practice in the organization.
Organization performs security risk assessment in an ad hoc manner, but couldn't do anything to mitigate risks.
The organization performs risk assessment in an ad hoc manner. Risk identification, prioritization and selection of security controls to mitigate risks is done in an ad hoc way.
The organization has a consistent overall approach of performing risk assessment but most of risk assessment process is undocumented.
The process is fully documented and the risk assessment process is continuously reviewed and used during decision making.
"The focus is on continuous process improvement. The risk assessment process is used to identify new opportunities. The organization performs continuous benchmarking and implements best practices.
"
組織は、リスク査定を行う一貫したあらゆるアプローチを行っているが、リスク査定のほとんどは文書化されていない。
プロセスはすべて文書化されており、リスク査定プロセスは一貫して見直され、意思決定の際に使用されている。
継続的なプロセル改善に焦点が置かれている。リスク査定プロセスは新たな機会を特定するために使用されている。組織は継続的な評価基準を行い、最適な実践を行っている。
組織が行うリスク評価の一貫性のある総合的なアプローチがありますが、リスク評価プロセスのほとんどは、文書化されていません。
プロセスは完全に文書化され、リスク評価プロセスは継続的に検討し、意思決定の際に使用されます。
「焦点は、継続的なプロセス改善にある。リスク評価プロセスは、新たな機会を特定するために使用される。組織が連続ベンチマークを実行し、ベストプラクティスを実装しています。
14
A.6.1.E
Does the organization have an endpoint management policy based approach that requires all the endpoint devices (workstations, laptops, smartphones and tablets) to comply with specific criteria before they are granted access to network resources within the organization?
--
No policy exists.
Policy exists, but not completed.
Policy exists, but is not implemented actually.
Policy exists, and is implemented in part of devices.
Policy exists, and is implemented in all of devices, but the policy is not regularly reviewed.
Policy exists, is implemented in all of devices, and is regularly reviewed to improve.
A.6.1.E
組織は、組織内のネットワークリソースへのアクセスを許可する前に、特定の基準に適合するすべての終点デバイス(ワークステーション、ラップトップ、スマートフォン、タブレット)を必要とするアプローチに基づいて終点管理施策を行っていますか。
施策はない。
施策はあるが、完了していない。
施策はあるが、実際に実行されていない
施策はあり、一部のデバイスで実行されている。
施策はあり、すべてのデバイスで実行されているが、施策は定期的に見直されていない。
施策はあり、すべてのデバイスで実行されており、改善のために定期的に見直されている。
A.6.1.E
組織は、彼らが組織内のネットワークリソースへのアクセスを許可される前に、特定の基準に準拠するすべてのエンドポイントデバイス(ワークステーション、ラップトップ、スマートフォンやタブレット)を必要とするエンドポイント管理ポリシーベースのアプローチを持っていますか?
-
いいえポリシーは存在しません。
ポリシーが存在しますが、完了していません。
ポリシーが存在しますが、実際に実装されていません。
ポリシーが存在し、デバイスの一部に実装されています。
ポリシーが存在し、すべてのデバイスに実装されていますが、ポリシーは定期的に見直されていません。
ポリシーは、すべてのデバイスに実装され、存在していて、定期的に改善するために見直されます。