セクション: 情報資産の保護
Explanation:
訪問者に付き添うことで、訪問者がデータ処理施設への立ち入りを許可されていることが確実に保証されます。選択肢 B と C は信頼できる制御ではありません。選択肢 D は誤りです。訪問者はデータ処理施設にいるときだけでなく、敷地内にいる間は常に付き添いが必要です。

セクション: 情報システムの監査プロセス
Explanation:
リスク軽減とは、存在するリスクを排除するか、またはそのレベルを大幅に低下させることを実践することです。
検査を受けるには、リスク評価と治療に関する以下の情報を知っておく必要があります。
リスク管理ツールであるリスク評価は、脆弱性と脅威を特定し、その影響の可能性を評価して、セキュリティ制御を実装する場所を決定する方法です。リスク評価を実行し、結果を分析します。リスク分析は、セキュリティがコスト効率が高く、関連性があり、タイムリーで、脅威に応答性があることを確認するために使用されます。セキュリティは、熟練したセキュリティ専門家にとっても非常に複雑になる可能性があり、セキュリティを過剰に適用したり、セキュリティが不十分であったり、間違ったセキュリティ制御を適用したり、必要な目的を達成せずにプロセスに多額の費用をかけたりすることがよく起こります。
リスク分析は、企業がリスクに優先順位を付け、それらのリスクから適切に保護するために適用すべきリソースの量を経営陣に示すのに役立ちます。
リスク分析には主に 4 つの目標があります。
資産と組織にとってのその価値を特定します。
脆弱性と脅威を特定します。
これらの潜在的な脅威の可能性とビジネスへの影響を定量化します。
脅威の影響と対策のコストの間の経済的なバランスを提供します。
リスクの治療
リスク軽減
リスク軽減とは、存在するリスクを排除するか、またはそのレベルを大幅に低下させることを実践することです。
リスク軽減の例は日常生活で見ることができ、情報技術の世界ではすぐに明らかになります。リスク軽減には、リスクを減らすために適切な制御を適用することが含まれます。たとえば、非常に機密性の高い個人情報や金融情報が漏洩するリスクを軽減するために、組織はファイアウォール、侵入検知/防止システム、その他のメカニズムなどの対策を講じ、悪意のある部外者がこの機密性の高い情報にアクセスするのを阻止します。未成年ドライバーの例では、リスク軽減は、若者に対する運転教育、若いドライバーが運転中に携帯電話を使用できないようにするポリシーの確立、または特定の年齢の若者が一度に複数の友人を車に乗せないようにするなどの形をとることができます。
リスク移転
リスク移転とは、問題のリスクを保険会社などの別の組織に転嫁することです。上で紹介した例の 1 つを別の観点から見てみましょう。家族は、未成年のドライバーに家族の車の使用を許可するかどうかを検討しています。家族は、若者が移動できることが重要であると判断し、若者が事故に遭った場合の経済的リスクを、家族に自動車保険を提供する保険会社に転嫁します。
リスクの移転にはコストが伴う場合があることに注意することが重要です。これは、前述の保険の例に間違いなく当てはまりますが、ベンダーの賠償責任保険や、ハードウェアやソフトウェアの盗難や破壊から保護するために企業が加入する保険など、他の保険の例にも当てはまります。組織が攻撃されにくくするためにセキュリティ制御を購入して実装する必要がある場合にも、このことが当てはまる可能性があります。すべてのリスクを移転できるわけではないことを覚えておくことが重要です。金融リスクは保険を通じて簡単に移転できますが、評判リスクは完全に移転されることはほとんどありません。
リスク回避
リスク回避とは、問題のリスクが実現しないように代替案を考え出すことです。たとえば、友人や友人の両親が、未成年のドライバーの保険にかかる費用について不満を漏らしているのを聞いたことがありませんか。こうした子供たちが移動できるようになると、多くの子供たちが直面するリスクについてはどうでしょうか。こうした家族の中には、問題の子供に家族の車を運転させず、法定年齢 (つまり 18 歳) に達するまで待ってから自動車の所有、保険加入、運転を約束するという決断をする人もいます。
この場合、家族は、運転能力の低下や子供の保険費用など、未成年のドライバーに関連するリスク (および関連するメリット) を回避することを選択しました。この選択は、状況によっては利用できる場合もありますが、すべての場合に利用できるわけではありません。インターネットでビジネスを行うことに関連するリスクを認識し、その慣行を回避することを決定した世界的な小売業者を想像してください。この決定により、会社は収益のかなりの部分を失ってしまう可能性があります (実際に、消費者が購入したい製品やサービスを会社が持っている場合)。さらに、この決定により、会社は、事業を継続したい世界中の各場所にサイトを構築またはリースする必要が生じる可能性があります。これは、会社の事業運営の継続能力に壊滅的な影響を与える可能性があります。リスクの受け入れ 場合によっては、組織が特定のシナリオで提示されるリスクを単に受け入れることが賢明な場合があります。リスクの受け入れとは、特定のリスクを受け入れる慣行であり、通常はビジネス上の決定に基づいており、リスクを別の方法で処理することのコストとメリットを比較検討することもあります。
たとえば、役員は、組織のリスク評価の過程で特定されたリスクに直面するかもしれません。これらのリスクは、組織への影響度が高い、中程度、低い順に優先順位が付けられています。役員は、低レベルのリスクを軽減または移転するには、多大なコストがかかる可能性があることに気付きます。リスクを軽減するには、高度なスキルを持つ人材を追加で雇用し、新しいハードウェア、ソフトウェア、およびオフィス機器を購入する必要があり、リスクを保険会社に移転するには保険料の支払いが必要になります。さらに、役員は、報告された低レベルの脅威のいずれかが実現しても、組織への影響は最小限に抑えられることにも気付きます。したがって、役員は (当然のことながら)、コストを放棄してリスクを受け入れる方が組織にとって賢明であると結論付けます。若いドライバーの例では、リスクの受け入れは、若者が親の判断に対する信頼に値する責任と成熟度を示したという観察に基づくことができます。
次の回答は間違っています。
リスク移転 - リスク移転とは、問題のリスクを保険会社などの別の組織に移転することです。上で紹介した例の 1 つを別の観点から見てみましょう。
リスク回避 - リスク回避とは、問題のリスクが実現しないように代替案を考え出すことです。
リスク受容 - リスク受容とは、通常はビジネス上の決定に基づいて特定のリスクを受け入れることであり、その決定ではリスクを別の方法で処理する場合のコストと利点を比較検討することもあります。
参照：
CISA レビューマニュアル 2014 ページ番号 51
CISSP CBK 公式 ISC2 ガイド第 3 版、ページ番号 383、384、385

説明
組織の脆弱性スキャン プログラムの有効性を評価する情報システム監査人が最も懸念すべき発見は、解決を確実にする権限を持つ個人に結果が報告されていないことです。これは、脆弱性管理の説明責任とコミュニケーションが欠如していることを示しており、特定された脆弱性の未解決または修復の遅れにつながる可能性があります。これにより、組織はサイバー攻撃や侵害のリスクが高まる可能性があります。その他の発見も懸念されますが、この発見ほどではありません。脆弱性スキャン プロセスの完全性、正確性、適時性には影響するかもしれませんが、必ずしもその有効性には影響しないからです。参考文献:
ISACA、CISA レビューマニュアル、第 27 版、第 4 章、セクション 4.41
ISACA、COBIT 2019 フレームワーク: 概要と方法論、セクション 3.2

組織のデータ変換およびインフラストラクチャ移行計画を評価する際に情報システム監査人が確認すべき最も重要なことは、ロールバック計画が含まれていることです。ロールバック計画とは、データ変換またはインフラストラクチャ移行が失敗したり、許容できない問題やリスクを引き起こしたりした場合にとるべき手順とアクションを記述した緊急時対応計画です。ロールバック計画は、元のデータとインフラストラクチャを復元し、業務および機能への影響を最小限に抑え、IT サービスの継続性と可用性を確保するのに役立ちます。情報システム監査人は、ロールバック計画が実行可能であり、テストされ、文書化され、承認されていること、およびデータ変換またはインフラストラクチャ移行の考えられるすべてのシナリオと結果をカバーしていることを検証する必要があります。その他のオプションは、データ変換またはインフラストラクチャ移行の潜在的な障害や中断に対処していないか、緊急時対応計画ではなく通常の計画および実行プロセスの一部であるため、ロールバック計画を確認することほど重要ではありません。参考文献: CISA レビュー マニュアル (デジタル版)1、第 4 章、セクション 4.2.3