シナリオ: あなたは、これまで上級レベルのセキュリティ担当者がいなかった会社に新しく採用された最高情報セキュリティ責任者です。同社には、情報セキュリティ プログラムに関する定義されたセキュリティ ポリシーとフレームワークがありません。あなたの新しい上司である最高財務責任者は、セキュリティ ポリシーの概要を草案し、業界/分野に中立な情報セキュリティ管理フレームワークを導入に推奨するようあなたに依頼しました。
企業情報セキュリティ ポリシーに含める必要があるのは次のうちどれですか?

組織のファイアウォール テクノロジーを置き換える必要があります。他のテクノロジーよりもコストが低く、いくつかの重要な機能が欠けている特定のテクノロジーが選択されました。セキュリティ担当者は機密データ侵害に対する懸念を表明したが、購入を決定した。この選択は何を示しているのでしょうか?

ジョンは、組織内の大規模プロジェクトのプロジェクト マネージャーです。プロジェクトのいくつかの領域に影響を与える新しい変更リクエストが提案されました。プロジェクト変更の影響の 1 つの領域は、ベンダーがすでに完了した作業にあります。ベンダーは、契約したプロジェクト作業をすでに完了しているため、変更を行うことを拒否しています。
この場合、ジョンは何ができるでしょうか?

法廷で侵入者の責任を問う能力は重要です。起訴が成功する可能性を最大限に高めるために必要な活動は次のうちどれですか?

シナリオ: 最高情報セキュリティ責任者 (CISO) は最近、第三者にセキュリティ プログラムの監査を実施させました。内部ポリシーと国際基準が監査のベースラインとして使用されました。監査報告書は CISO に提出され、高、中、低と評価されたさまざまなギャップが特定されました。
監査結果が正確であると判断した後、最も論理的な次のアクティビティは次のうちどれですか?