あなたは新しい CISO として採用されたばかりで、あなたのセクションが進めているすべての情報セキュリティ プロジェクトについて説明を受けています。ほとんどのプロジェクトが予定より遅れており、予算を超過していることがわかります。
プロジェクト管理のベスト ビジネス プラクティスを使用して、プロジェクトが会社の目標と正しく一致しているかどうかを判断します。最初に何を確認する必要がありますか?

セキュリティインシデントが発生した際にネットワークを保護する責任は誰にありますか?

IT セキュリティ プロジェクト管理をアウトソーシングする必要があるのはどのような場合ですか?

シナリオ: 組織は最近 CISO を任命しました。これは組織における新しい役割であり、企業レベルで一貫してセキュリティに対処する必要性が高まっていることを示しています。この新しい CISO は、スキルと経験には自信を持っていますが、常に守勢に立たされており、IT セキュリティ中心の課題を推進することができません。
CISO は多くの技術的管理を実装することができ、情報技術チームに影響を与えることができますが、組織の他の部分には影響を与えることができませんでした。組織の観点から見ると、この理由として考えられるのは次のうちどれですか?

シナリオ: 組織では、従業員が組織のシステムやデータにアクセスできるように、シングル サインオン (ユーザー名とパスワードのみ) を採用しています。個々のシステムやデータベースに対する許可は、監督者やデータ所有者を通じて精査および承認され、承認された担当者のみが特定のアプリケーションを使用したり、情報を取得したりできるようになります。すべての従業員は、従業員セルフサービス アプリケーションを通じて銀行振込や口座情報、その他の個人情報を変更する機能など、自分の人事情報にアクセスできます。すべての従業員が組織の VPN にアクセスできます。
最近、組織のメンバーが数多くの高度なフィッシング攻撃の標的となり、システム資格情報が侵害されました。
従業員が自分の銀行情報を管理できるようにしながら、組織外から銀行口座情報を変更するために侵害された資格情報の悪用を防ぐには、どのような措置を講じることができますか?