セクション: 情報資産の保護

セクション: 情報資産の保護
Explanation:
データアーキテクチャ、技術、運用要件が十分に文書化されていれば、
標準への適合は、新しいプロジェクト リソースに割り当てられた特定の作業パッケージとして扱うことができます。
非標準データ定義を使用すると、新規開発の効率が低下し、
重要なビジネス上の決定における誤りのリスク。プロジェクト終了後にデータ定義標準を変更する
（選択肢B）はリスクが高く、実行可能な解決策ではありません。一方、違反者を処罰する（選択肢D）または
プロジェクトを遅らせる（選択肢C）ことは、
プロジェクト全体の収益性。

説明
大規模組織向けの DLP ソリューションを開発する際の最初のステップは、データ インベントリと分類の実施です。このステップでは、組織が所有、生成、または処理するすべてのデータ資産を識別して位置を特定し、機密性、価値、規制要件に基づいてそれらをさまざまなカテゴリに割り当てます1。データ インベントリと分類は、DLP ソリューションの範囲と目的、および各データ カテゴリの適切な保護レベルと監視を決定するのに役立つため、DLP にとって不可欠です2。データ インベントリと分類により、組織はデータ損失や漏洩のリスクと影響に基づいて DLP の取り組みに優先順位を付けることもできます3。
オプション B は不正解です。企業全体で承認されたデータ ワークフローを特定することは、データのインベントリと分類を実施した後の次のステップです。データ ワークフローとは、組織内外でデータを作成、保存、アクセス、共有、または転送するプロセスとチャネルです4。承認されたデータ ワークフローを特定すると、データの通常かつ正当な使用方法を定義し、不正または異常なデータ アクティビティを検出して防止するのに役立ちます5。ただし、承認されたデータ ワークフローを特定する前に、組織はどのようなデータを保有し、どのように分類すべきかを把握する必要があります。
オプション C は不正解です。機密データの使用に対する脅威分析は、データのインベントリと分類を行った後の次のステップです。脅威分析は、データ損失または漏洩インシデントの潜在的なソース、方法、および影響を特定して評価するプロセスです。脅威分析は、各データ カテゴリのリスク プロファイルに基づいて、効果的な DLP 制御と対策を設計および実装するのに役立ちます。ただし、脅威分析を行う前に、組織はどのようなデータを所有し、どのように分類する必要があるかを把握する必要があります。
オプション D は不正解です。DLP ポリシーとテンプレートの作成は、データ インベントリと分類の実施、承認されたデータ ワークフローの特定、脅威分析の実施後の最終ステップです。DLP ポリシーとテンプレートは、DLP ソリューションがデータ損失または漏洩イベントを監視、検出、報告、および対応する方法を指定するルールと構成です。DLP ポリシーとテンプレートは、組織のビジネス ニーズ、規制上の義務、およびリスク許容度に合わせて調整する必要があります。ただし、DLP ポリシーとテンプレートを作成する前に、組織は所有しているデータ、そのデータの分類方法、データの使用方法、および直面している脅威を把握する必要があります。
参考文献:
データインベントリと分類: データ保護の第一歩1
データ分類: データ分類とは何か、なぜ必要なのか2
2020 年にデータ損失防止戦略を優先する方法3
データワークフローとは? 定義と例4
ビジネスのデータワークフローを特定する方法5
脅威分析: 初心者のための総合ガイド
ビジネスにおける脅威評価の実施方法
データ損失防止 (DLP) とは? 定義と例
効果的なデータ損失防止ポリシーを作成する方法

IS 監査人が組織図を確認する主な理由は、個人の責任と権限をより深く理解するためです。