セキュリティリスクの考慮を獲得戦略と実践に統合する

セキュリティリスクの考慮事項を買収戦略と実践に統合することは、新規または未知のリスクの組織への導入を最小限に抑えるのに役立ちます。多くの場合、組織内のセキュリティは、その弱いリンクと同じくらい強いと言われています。合併や買収の文脈では、しばしば一方の組織が他方よりも安全性が高くなります。十分な分析が行われる前に2つの組織を接続すると、新しい組織のセキュリティ機能が大きく損なわれる可能性があります。

<！合併または買収中にポリシー、要件、ビジネスプロセス、および手続きを調整する作業は、ほとんど簡単ではありません。さらに、合併または買収のすべての当事者にとって、たとえその組織が買収企業であっても、一方の組織の方針、要件、プロセスおよび手続きが「適切な」または「最良の」方法であると仮定するべきではありません。

代わりに、各組織の個別の方針、要件、プロセス、手順を評価して、今後成立する新組織に最適なソリューションを特定する必要があります。

<！ハードウェア、ソフトウェア、およびサービス

組織が考慮する新しいハードウェア、ソフトウェア、またはサービスは、組織の全体的なセキュリティとリスクの姿勢にどのように影響するかを判断するために、組織内の他のハードウェア、ソフトウェア、またはサービスにどのような影響を与えるかについて説明します。たとえば、統合の問題は、システムの完全性と可用性に悪影響を与える可能性があります。

<！ - 3 - >

第三者の評価とモニタリング

合併または買収では、各組織がテーブルにもたらす第三者を検討することが重要です。買収または合併する組織は、第三者のリスクプログラムを慎重に検討する必要があるだけでなく、第三者に関連するリスクレベルが合併に照らして変化していないことを確実にするために、または買収。

第三者の新たな評価またはモニタリングは、慎重に検討する必要があります。重要なセキュリティ上の問題や規制上の要件がすべて適切に解決されていることを確認するために、契約（プライバシー、非開示要件、セキュリティ要件を含む）とSLA（Service Level Agreement）を見直す必要があります。

最低限のセキュリティ要件

最低限のセキュリティ要件、基準およびベースラインは、取得戦略および実践において完全に理解され、考慮されることを保証するために文書化されるべきである。以前は別々の2つの組織からのセキュリティ要件を融合させることは、それらを1つのドキュメントにまとめただけの簡単なことではありません。代わりに、すべてが調和しなければならない重複、アンダーラップ、および矛盾の多くのインスタンスが存在する可能性があります。移行期間が必要な場合があります。そのため、合併または買収後の新しい要件を満たすためにセキュリティ構成とアーキテクチャを調整する時間が十分にあります。

サービスレベル要件

SLA（Service-Level Agreements）は、システム、アプリケーション、ネットワーク、またはサービスのパフォーマンス基準を最低限に設定します。組織は、内部SLAを確立してエンドユーザーに、情報システムおよびサービスのパフォーマンスの現実的な期待を提供します。たとえば、ヘルプデスクSLAでは、インシデントの優先順位を1,2,3,4と指定し、SLA応答時間をそれぞれ10分、1時間、4時間、24時間に設定できます。サードパーティ関係では、SLAは、アウトソーシングパートナーまたはベンダーが満たす必要のある契約上のパフォーマンス要件を提供します。たとえば、インターネットサービスプロバイダーのあるSLAは、所定の期間内に超過した場合、請求書クレジットまたは（必要に応じて）サービス契約のキャンセルをもたらす最大許容ダウンタイムを設定することができます。