ORG-002 セキュリティトレーニング (Security Training)

ID
DSOVS-ORG-002

概要

セキュリティトレーニングのケイパビリティはソフトウェアプロジェクトチームの成長に合わせて測定および拡張できる計画を確立することに重点を置いています。主な目的は継続的な学習文化を育てることであり、そのためにはトレーニングに参加するための要員の時間を組織が投資する必要があります。トレーニングの効果は測定可能で、ソフトウェアライフサイクルに関与する要員固有の役割に合わせなければなりません。

レベル 0 - セキュリティトレーニングを計画していない

組織内にはアプリケーションセキュリティに関する正式なトレーニング計画の証跡がありません。インストラクターによるセッションやコンピュータベースのモジュールのいずれにも、要員の時間やトレーニング教材にも組織は十分な投資を行っていません。

レベル 1 - 開発チームメンバー、運用サポート、エンドユーザーに関連するすべての役割に対してセキュリティトレーニングをアドホックに実施している

組織内ではソフトウェアプロジェクトチーム向けに不定期にアプリケーションセキュリティトレーニングが実施されることがあります。トレーニングの実施方法はインストラクターによるセッションやコンピュータベースのモジュールかもしれませんが、トレーニングモジュールが要員の役割に合わせたり、個々の KPI を測定しているという証跡はありません。

レベル 2 - 開発チームメンバー、運用サポート、エンドユーザーを対象として、役割に応じたセキュリティトレーニングを定期的に実施している

要員固有の役割に合わせた要員トレーニングのタイムスケジュールが計画されています。トレーニングが定期的な時間ベースで実施されていますが、アプリケーションセキュリティトレーニングが KPI や個人のトレーニング目標に合わせて測定されているという証跡はありません。

レベル 3 - セキュリティトレーニングを個別のトレーニングプランや KPI の一環として計画し測定している

アプリケーションセキュリティトレーニングは要員の役割に合わせており、組織内で個々の KPI に向けて測定されています。組織のリスク選好度、アプリケーションの脆弱性、要員のキャリア目標に沿って、トレーニングの有効性は組織によって継続的に測定され改善されています。

参考情報

• https://owaspsamm.org/model/governance/education-and-guidance/