本日読了。

良書。CISO向けの情報がまとまっている。

リスクマネジメントの3つのディフェンスライン。1) リスクオーナーとしてリスクを制御する（業務部門） 2) リスクを管理する（管理部門） 3) 合理的な保証を提供する（監査部門）。

リスクマネジメントのフレームワーク。CISコントロールズ、NIST-CSF（サイバーセキュリティフレームワーク）（侵害後の対応を重視→CSIRTの設置）、情報セキュリティマネジメントサイクル。

指標化。バランストスコアカードで経営KPIに情報セキュリティKPIを展開。

成熟度評価。C2M2（Cybersecurity Capability Maturity Model）。

監査。ISMS。

アーキテクチャ。ESA（Enterprise Security Architecture）として、SABSA、COBIT、TOGAFなどがある。ゼロトラストアーキテクチャ。

DXへの向き合い方。ボトルネックにならず推進する。セキュリティもDXする。

クラウドファースト。クラウドサービスの評価方法。セキュアに利用する方法。

インシデント対応。脅威インテリジェンスの利用。インシデント対応演習。

製品とベンダーの選定。ツボ売りには注意。

サイバーセキュリティ経営ガイドライン。