セキュリティ用語集

概要

Security Assurance チーム は、さまざまな種類のセキュリティアンケート、アセスメント、監査を実施しています。ご質問がある場合は、お気軽にお問い合わせください。

• Slack チャンネルへの参加: #sec-assurance
• メール: [email protected]

セキュリティアンケート (Security Questionnaire)

セキュリティプログラムまたはその一部の概要を提供することを目的としたドキュメントです。セキュリティアンケートは、セキュリティアセスメントの中で日常的に使用されます。業界標準のセキュリティアンケートの例としては CAIQ があり、GitLab はこれを Customer Assurance Package で公開しています。

セキュリティアセスメント (Security Assessment)

セキュリティプログラムまたはその一部の適合性と機能を調査するアクティビティです。たとえば GitLab は第三者に対して Third Party Risk Management アセスメント を実施しています。セキュリティアセスメントは通常、他の組織からサービスを調達しようとしている組織によって実施されます。GitLab は Customer Assurance Package を公開・維持することにより、お客様のセキュリティアセスメントを支援しています。

セキュリティ監査 (Security Audit)

セキュリティプログラム、セキュリティ関連システム、またはセキュリティコントロールの包括的な検査です。セキュリティ監査は、信頼できる情報へのアクセスを必要とするため、セキュリティアセスメントよりも包括的です。結果を正しく解釈するためには、セキュリティ監査の対象範囲と対象期間を理解することが重要です。セキュリティ監査は内部・外部のいずれもあり得ます。

内部セキュリティ監査 (Internal Security Audit)

監査を実施する組織に雇用されている人員が実施するセキュリティ監査です。たとえば、GitLab の Internal Audit チーム と Security Compliance チーム は、GitLab のセキュリティプログラムの内部監査を実施しています。

外部セキュリティ監査 (External Security Audit)

契約された独立した第三者によって実施されるセキュリティ監査です。たとえば GitLab は、独立した第三者監査人による SOC2 監査と ペネトレーションテスト を定期的に受けています。

ページのソースコードを見る - ページの編集 - please contribute.