Feb 03, 2009

医師求人のタイミング

医師の採用はかなり一般的なものでは乗っておらず、通常の先輩医師や無料の先生方を良いと言われています。フリーの先生は非常に様々な回っている状況もリアルに聞く、特に人間関係など。信頼性の高い情報です。医師の求人は、締め切りもまちまちでも​​行きたい病院やタイミングが合わないと言うこともたくさん聞きます。
インターネットは非常に便利です。看護師求人なぜなら、インターネット上にあるのがいいと思います。良い待遇看護師求人でも見つけることと思います。なんといっても、情報量が非常に豊富で、日本全国の求人情報を簡単に確認することができます。少しだけ時間を見つけて求人を検索することもあるので、問題なく使用することをお勧めします。
 大企業が直面している情報セキュリティリスクの多くは、中堅・中小企業(SMB)にも共通する。2010年12月に起きた米Gawker Mediaの情報流えい事件(※)は、SMBであっても狙いすました巧妙な攻撃の被害者になり得るという実態を見せつけた。それを念頭に、あらゆる規模の企業がセキュリティリスク評価プロセスに従ってリスクを洗い出し、分類し、回避する必要がある。

(※)「Gizmodo」「Lifehack」などを運営する米国のブログメディア企業Gawker Mediaのサーバがハッキング攻撃を受けた事件。同攻撃により同社運営のWebサイトに登録していた100万人以上のユーザーID(メールアドレス)/パスワードが流出した。

 しっかりした情報セキュリティリスク管理計画を立てるために必要な手順を記した良書やホワイトペーパー、フレームワーク、方法論はいくらでもある。そうした出版物に加え、組織のITセキュリティリスク評価プロセスを実施して、リスクや損害の程度を測り、場合によっては低減する手助けをしてくれる企業も多数ある。ただ、ほとんどのSMBにとっての問題は、コンサルタントと契約してリスク評価を実施したり、リスク管理計画を立てたりする時間もリソースも資金もないことだ。ではSMBが自らのリスク管理計画を立てるにはどうすればいいのか。以下の手順に従って、自社のIT資産が危険にさらされる恐れがあるかどうかを判断し、その溝を埋めるための計画を立ててほしい。

※関連記事:ここが知りたい! SMBのためのセキュリティ対策
→http://techtarget.itmedia.co.jp/tt/news/0804/30/news02.html


●1. 情報とインフラの範囲を特定する

 第一段階として、自社の環境を構成する情報システムおよびハードウェアとソフトウェアリソースの範囲を特定する。インフラに目を向ける際は、基幹的なシステム(決済、CRM、人事、法務、知識リポジトリなど)に着目することが大切だ。データに目を向ける際は、個人を特定できる情報、人事情報、知的財産といった「要注意データ」に着目する。

●2. 脅威と脆弱性を理解する

 自社を脅かす脅威にどんなものがあるかを検討する(その内容は所在地や業種によって異なる場合もある)。脅威とは、特定の攻撃元が特定の脆弱性を悪用できてしまう可能性のことを指す。自社の環境に存在するハードウェアとソフトウェアの脆弱性をリストアップし、意図的な脅威と無意識の脅威の両方について検討する。例えばデータ入力ミスなどは無意識の脅威になり得る。一方、意図的な脅威には、ネットワークを経由したり悪質なソフトウェアをアップロードしたりするターゲット型攻撃などがある。この段階を踏めば、脅威がリストアップされ、それに関連した脆弱性についての理解ができているはずだ。

●3. 影響評価

 この段階では、それぞれの潜在的脅威が現実のものになった場合、結果として生じる悪影響を予測する。セキュリティ事案の悪影響は、損失や評判の失墜、あるいは以下に挙げる3項目のセキュリティ目標の組み合わせに照らして記述できる。

・完全性
・可用性
・機密性

 これらの目標を念頭に、影響の程度を分類する。1つの方法は、高、中、低に分類することだ。直ちに事業に重大な支障が出るものは「高」、比較的限定的であれば「低」に分類する。

●4. リスク判定

 特定の脅威/脆弱性によるリスクを、以下の項目に照らして判定する。

・攻撃元が脆弱性の悪用に成功する可能性
・攻撃元が脆弱性の悪用に成功した場合の影響の程度
・そのリスクの低減、回避、排除における既存のセキュリティコントロールの適切性

 この段階では、リスクレベルとその影響(手順3の分類に基づく)を記した表組を作成する。ここでも高、中、低の分類が利用できる。手始めに、リスクと脅威の影響を3列×3列の表で示す。表1では、脅威を例示し、予想される影響とリスクの分類を記入した。このマトリクス表を基に、自社のITセキュリティリスク評価報告を作成してほしい。

※表掲載の元記事:5段階でできる中堅・中小企業のためのリスク管理
→http://techtarget.itmedia.co.jp/tt/news/1104/28/news01.html

 この表は包括的とは言い難いが、私の見たところ、このようなセキュリティリスク評価プロセスを実施してITリスクと脆弱性の理解に役立てている企業はほとんど見当たらない。

●5. 管理計画

 最終段階として、洗い出したリスクを回避または排除できるコントロールの選択肢を挙げる。コントロール提案の目標は、IT環境に与える影響を容認できるレベルにまで低減させることだ。コントロールの範囲は人員、ポリシー、手続き面の変更から、新規の構成、調達、新技術の導入にまで及ぶかもしれない。

 以上の5段階で基本的なITセキュリティリスク評価プロセスは完了する。得られた結果は必ず組織内の中心的な意思決定者と共有しておく。そうすれば、リスクを許容できるレベルに低減すべく計画したコントロールの優先的な実行に向け、情報に基づく会社の意思決定をサポートしてもらえる。ITや情報セキュリティの担当者はリスク回避のための選択肢は提示できるかもしれないが、最終的に必要なのはIT/情報セキュリティ上の意思決定ではなく、会社としての意思決定なのだ
Posted at 18:16 in World | WriteBacks (0) | Edit
WriteBacks
TrackBack ping me at
Post a comment

writeback message: Ready to post a comment.