Infosecプロフェッショナル向けのJoelテストはどのような質問で構成されますか？

セキュリティチームに大きな影響を与えると思われるものは次のとおりです。

• 取締役会レベルでのCISOまたは同等のスポンサー付きセキュリティ、およびセキュリティスキルと専門知識の開発があります

それがなければ、チームは影響力の欠如に非常に幻滅し、セキュリティに関するより成熟した展望を持つ組織に移動します。

また、長期的なキャリアを確保したいと考えている個人を引き付けるために

• Institute of Information Security Professionals が開発したものなど、大学院入学から退職までのキャリア全体をカバーするセキュリティコンピテンシーフレームワークをお持ちですか？

• 別のアプリケーションセキュリティチームはいますか？ （ショーを実行しているネットワーク秒とは対照的に）
• CISO /セキュリティ責任者/あなたが彼と呼ぶもの-脅威を理解するのに十分な技術とリスクに翻訳するのに十分なビジネスに精通している
• 経営者、管理者、および開発者が参加する、包括的なSDLはありますか？
• すべての従業員は、自分の作業領域に関連するセキュリティトレーニングを受ける必要がありますか？
• 製品/システム/アプリケーション/その他は、展開前にセキュリティサインオフを取得する必要があり、セキュリティでそれを停止できますか？
• 深刻な脆弱性のためにセキュリティによってシステムの稼働が停止した場合/その場合、ビジネスから感謝または呪われていますか？
• 取締役は 企業のセキュリティポリシー に拘束されていますか？ :)
• セキュリティ部門は技術的な障害と見なされていますか、それともビジネスリスクを管理するための行政支援と見なされていますか？

• 複数の物理的な場所に定期的にバックアップを実行していますか？
• バックアップからの復元を定期的にテストしていますか？
• セキュリティ問題のリスク管理戦略はありますか？
• 従業員に関連するセキュリティ問題について定期的に教育していますか？
• セキュリティ予算はありますか？
• 機密データを管理するための技術的および管理的な方法はありますか？
• セキュリティの問題について最新の状態を保ちますか？
• パスワードをプレーンテキストで保存しますか？
• コンピューター、サーバー、データを保護するためにどのソフトウェアを使用していますか？
• 重要なソフトウェアを定期的に新しいバージョンに更新していますか？
• すべての従業員のパスワード変更は必須ですか？

追加するいくつか：

• 自動ログ管理および分析ツールを使用していますか？
• ネットワークをセグメント化していますか？
• ITセキュリティ担当者は運用システムを維持していますか？ （職務分掌はありますか）
• 通常のユーザーは管理者権限を持っていますか？

VirtuosiMediaからのものに加えて：

• セキュリティチームが責任を負うのは何ですか。
• セキュリティポリシーが最後に更新されたのはいつですか？
• セキュリティチームは誰に報告しますか？
• 環境で実行されている最も古いアプリケーションは何ですか？
• セキュリティチームはコンプライアンスプログラムの一部ですか？ある場合、毎年どのような種類の監査が実施されますか？