セキュリティ管理

この記事には一般的な参考文献の一覧が含まれていますが、対応するインライン引用が不十分です。より正確な引用を追加して、この記事の改善にご協力ください。（2011年8月）（このメッセージを削除する方法とタイミングについては、こちらをご覧ください）

セキュリティ管理とは 、人、建物、機械、システム、情報資産などの組織の資産を識別し、資産を保護するためのポリシーと手順を開発、文書化、実装することです。

組織は、情報分類、脅威評価、リスク評価、リスク分析などのセキュリティ管理手順を使用して、脅威を特定し、資産を分類し、システムの脆弱性を評価します。^{[ 1 ]}

損失防止は、重要な資産とは何か、そしてそれらをどのように保護するかに焦点を当てます。損失防止の重要な要素は、目標達成を阻む潜在的な脅威を評価することです。これには、目標達成を促進する潜在的な機会も含める必要があります（メリットがなければ、なぜリスクを取るのでしょうか？）。発生確率と影響度のバランスを取り、これらの脅威を最小限に抑える、または排除するための対策を策定し、実施します。^{[ 2 ]}

セキュリティ管理には、セキュリティ目標を達成するために組織のリソースを管理・制御するために使用される理論、概念、アイデア、方法、手順、および実践が含まれます。ポリシー、手順、管理、運用、トレーニング、意識向上キャンペーン、財務管理、契約、リソース割り当て、そしてセキュリティ低下などの問題への対処など、すべてがこの広範な分野に含まれます。^{[ 3 ]}

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: 「セキュリティ管理」  – ニュース·新聞·書籍·学者· JSTOR      ( 2024年3月) (このメッセージを削除する方法と時期については、こちらをご覧ください)

セキュリティリスク管理は、リスク管理の原則をセキュリティ脅威の管理に適用するものです。これは、脅威（またはリスクの原因）の特定、それらの脅威に対処するための既存の管理策の有効性の評価、リスクの結果の特定、発生可能性と影響度の評価によるリスクの優先順位付け、リスクの種類分類、そして適切なリスクオプションまたはリスク対応策の選択で構成されます。2016年、オランダでリスク管理のための普遍的な標準規格が策定されました。2017年には更新され、「ユニバーサル・セキュリティ・マネジメント・システム・スタンダード2017」と命名されました。

• 戦略的: 競争と顧客の需要。
• 運用: 規制、サプライヤー、契約。
• 金融：FXとクレジット。
• 危険: 自然災害、サイバー、外部の犯罪行為。
• コンプライアンス: 新しい規制または法的要件が導入されたり、既存の要件が変更されたりして、コンプライアンスを確保するための対策が講じられていない場合、組織は非コンプライアンス リスクにさらされます。

• 戦略: R&D。
• 運用: システムとプロセス (人事、給与)。
• 財務: 流動性とキャッシュフロー。
• 危険: 安全とセキュリティ、従業員と設備。
• コンプライアンス: 組織のシステム、プロセス、サプライヤーなどの具体的な変更または潜在的な変更により、法律または規制の違反につながる可能性があります。

リスクオプション

最初に検討すべき選択肢は、犯罪機会の存在を排除するか、あるいはそのような機会の発生を回避する可能性です。この措置によって、より大きなリスクを生み出す可能性のある追加の考慮事項や要因が生み出されない場合、例えば、小売店からすべてのキャッシュフローをなくせば、金銭を窃盗する機会はなくなりますが、同時に事業を営む能力も失われます。

犯罪機会の回避または排除が事業遂行能力と矛盾する場合、次のステップは、潜在的な損失の機会を事業機能の範囲内で最小限のレベルまで低減することです。上記の例では、リスク低減策を適用した結果、事業運営に必要な現金が1日分の現金のみに留まる可能性があります。

リスク軽減と回避策を適用した後も露出したままの資産は、リスク分散の対象となります。これは、周辺照明、格子窓、侵入検知システムなどを用いて、犯罪が完了する前に犯人を検知・逮捕の可能性にさらすことで、損失や潜在的な損失を制限するという概念です。その目的は、窃盗犯が資産を盗み、逮捕されることなく逃走する時間を短縮することです。

リスク移転を実現する主な方法は2つあります。資産に保険をかけるか、犯罪行為が発生した場合の損失を補填するために価格を上げることです。一般的に、最初の3つのステップが適切に適用されていれば、リスク移転のコストは大幅に削減されます。

残りのリスクはすべて、事業運営の一環として企業が負担することになります。これらの損失には、保険の補償範囲の一部として控除額が計上されています。

• 警報装置。

• 生体認証やキーカードロックなどの、シンプルなものから高度なものまで、さまざまなロック。

• 環境要素（例：山、木など）。
• バリケード。
• 無線通信機器（双方向ラジオなど）を備えた警備員（武装または非武装）。
• 防犯照明（スポットライト等）
• 防犯カメラ。
• モーション検出器。
• 現金輸送用のIBNSコンテナ。

• 法執行機関との調整。
• 不正行為の管理。
• リスク管理。
• CPTED。
• リスク分析。
• リスク軽減。
• 緊急時対応計画。

• BBCニュース | 詳細。BBCニュース - ホーム。ウェブ。2011年3月18日。< http://news.bbc.co.uk/2/shared/spl/hi/guides/456900/456993/html/ >。
• ラトナー、ダニエル. 「損失防止とリスク管理戦略」 セキュリティ管理 ノースイースタン大学、ボストン. 2010年3月5日. 講演.
• ラトナー、ダニエル. 「リスク評価」 セキュリティマネジメント ノースイースタン大学、ボストン. 2010年3月15日. 講演.
• ラトナー、ダニエル. 「内部および外部の脅威」 セキュリティ管理 ノースイースタン大学、ボストン. 2010年4月8日. 講演.
• 資産保護およびセキュリティ管理ハンドブック、POA Publishing LLC、2003年、358ページ
• ISO 31000 リスクマネジメント - 原則とガイドライン、2009年、7ページ
• ユニバーサルセキュリティマネジメントシステム規格2017 - 使用要件および使用ガイダンス、2017年、50ページ
• セキュリティ管理研修とTSCM研修

•  この記事には、連邦規格1037Cのパブリックドメイン資料が含まれています。一般調達局。2022年1月22日時点のオリジナルからのアーカイブ。( MIL-STD-188 をサポート)。