プランニングポーカー テンプレート
セキュリティレビューの優先順位付け
インシデントになる前に、セキュリティの発見事項をリスクに基づいて優先順位付けします
planning poker で risk deck を使用して、セキュリティの発見の深刻度についてチーム全体で合意に達しましょう。セキュリティエンジニアと開発者が一緒に投票することで、実装の詳細が悪用可能性に与える影響を明らかにし、ビジネス代表者は漏洩の影響を評価します。同時開示により、上級エンジニアが初期評価でグループを偏らせることを防げます。
デッキの種類
risk
期間
45分
Teamの人数
3~8人
見積もりの焦点
悪用可能性とビジネスへの影響
手順
- 01最近の内部監査またはペネトレーションテストからセキュリティの問題点をリストアップしてください
- 02各発見を要約してください: 攻撃ベクター、影響を受けたデータ、既存のコントロール
- 03リスクレベルを選択してください — 低、中、高、または深刻
- 04可能性と影響度を比較して、分裂を明らかにし解決します
- 05各発見に対して所有者と是正目標日付を割り当ててください
- 06フォローアップを予約して修正内容を確認しましょう
使用するタイミング
セキュリティーオーディット、ペネトレーションテスト、または大幅なアーキテクチャ変更の後には、このレビューを実施してください。エンジニアリングチームとセキュリティ代表の両方と共に実施し、一方のチームが単独で優先順位を決めることを避けてください。