ISO 27002コントロールを実装する順序を理解するのに苦労しています。 CISトップ20を使用して支援することを考えていましたが、最適なルートは何ですか
これは、組織によって異なるため、簡単な答えはありません。 27002はISの単なるガイドラインであることを覚えておくことが重要です。認定はありません。また、各コントロールを満たす必要もありません。それはあなたが考慮すべきことの提案にすぎません。
ほとんどの場合、他のすべてを実装できるように、ある種のセキュリティポリシーを実装する必要があります。明らかに、これらのポリシーは、他のコントロールを実装すると変更される可能性があり、変更されます。多くの組織では、何らかのベースラインポリシーが導入された後のアクセス制御に重点が置かれています。これには、すべてのパスワードポリシーと、ネットワークへの役割ベースのアクセスが含まれます。
あなたの優先順位を評価します。組織によっては、このタスクをガイドできる会社のポリシーが設定されている場合があります。たとえば、顧客情報を保持していて、組織がこれを重要視しているとします。開始する他の場所は、IPまたはインフラストラクチャです。あなたがあなたの会社の資産が何であるかを理解しているなら、これは仕事をより簡単にします。セキュリティ評価を実行することも役立ちます。優れた評価担当者が、実装をガイドする優先順位を設定します。