* システムセキュリティプラン（SSP）の概要：
* システムをセキュリティ保護するための制御、処理される情報の種類、およびシステムの相互接続を文書化します。
* 外部監査の結果ではなく、システムのセキュリティ体制の説明に重点を置いています。
* 他のオプションを選択しない理由:
* A: コントロールは SSP の中核部分です。
* B: 接続されたシステムは相互接続のセキュリティのために文書化されている必要があります。
* D: 処理される情報の種類に応じて、セキュリティ要件を決定する必要があります。
参考文献:
* SSP 要件に関する EC 評議会 CISO 資料。
参考: https://www.govinfo.gov/content/pkg/GOVPUB-C13-63e84ab7af43b36228f10e4f0b5f8c38/pdf
/GOVPUB-C13-63e84ab7af43b36228f10e4f0b5f8c38.pdf (65)

* IT インフラストラクチャを分析し、セキュリティ ソリューションがハードウェアとソフトウェアの実装および管理方法の原則に準拠していることを確認することで、CISO は既存のテクノロジを効果的に使用していることを実証します。
* この原則は、現在の IT 資産を活用して最適化し、価値と効率を最大化することに重点を置いています。
他の選択肢があまり重要でない理由:
* A. ビジネスとの整合: これは、セキュリティ目標が組織の目的と整合していることを確認することに関連しますが、インフラストラクチャの分析よりも広範囲にわたります。
* C. 既存の実装を活用する: 関連はありますが、ハードウェア/ソフトウェアの管理と実装については明示的に説明されていません。
* D. 適切な予算管理: 予算管理は技術的な調整ではなく、財務的な側面に重点を置いています。
EC評議会CISOリファレンス:
効率的で安全な IT 戦略の一環として、既存のテクノロジー投資を最大限に活用することの重要性を強調します。

ビジネスケースの目的
セキュリティ プロジェクトのビジネス ケースは、次の目的で作成されます。
* 利害関係者にリスクを伝える。
* リソースの割り当てと投資の正当性を示します。
* 予算とリソースの要件を予測します。
オプションの比較
* A. リスクを推定し、責任を否定する: ビジネス ケースではリスクを推定しますが、主に責任を否定するものではありません。
* B. 攻撃ベクトルと攻撃元を理解する: これは重要ですが、ビジネス ケースの主な焦点ではありません。
* D. ソフトウェア ライセンスあたりの使用量とコストの予測: これはビジネス ケースの一部である場合もありますが、主な目的ではありません。
EC評議会の参考資料
* EC 評議会のフレームワークで強調されているように、ビジネス ケースは、セキュリティ プロジェクトを組織の優先事項と調整し、経営陣の承認を得るために不可欠です。