セクション: ITのガバナンスと管理

説明
事業主とは、個人データ処理の目的と範囲、および期待される成果と利益を定義する権限と責任を有する個人または団体です。また、事業主は、個人データの処理が一般データ保護規則（GDPR）や2018年データ保護法（DPA 2018）などの適用法令に準拠していることを保証する責任も負います。
GDPRおよび2018年DPAの要件の一つは、保存期間制限の原則を遵守することです。この原則では、個人データは、処理目的に必要な期間を超えて保存されるべきではないと規定されています1。つまり、事業主は、以下のような要素に基づいて、個人データをどのくらいの期間保存する必要があるかを決定し、その正当性を証明する必要があります。
個人データの性質と機密性
個人データに適用される法律上または契約上の義務または権利、個人データに依存するビジネス上または運用上のニーズと期待、個人データの保持または削除によって発生する可能性のあるリスクと影響。また、事業主は、個人データを破棄するための条件と方法を確立し、文書化する必要があります。これには次のようなものがあります。
個人データをいつ破棄するかを決定する基準とトリガー
個人データを安全に消去または匿名化するための手順とツール、個人データの破棄を実行および監督するための役割と責任、個人データの破棄を検証および証明するための記録とレポート。したがって、個人データの処理の定義と管理、および法律の遵守の確保を担当する事業主が、個人データの保持期間と破棄の条件を決定する必要があります。

説明
導入後レビューとは、プロジェクトまたはシステムの導入後に、その成果とメリットを評価するプロセスです。導入後レビューの主な目的は、新しいシステムがビジネス要件をどの程度満たしているかを判断することです。したがって、最も評価対象となるのはライン処理の結果、つまり運用環境におけるシステムの実際のパフォーマンスと機能性です。

セクション: 情報システムの運用、保守、サポート
Explanation:
AH、ESP、IKEはIPSecの3つの主要コンポーネントです。KDC（鍵配布センター）はIPSecではなくKerberosのコンポーネントです。
参考資料: 情報システム監査および制御協会、公認情報システム監査人 2002 レビュー マニュアル、第 4 章: 情報資産の保護 (217 ページ)。

アプライアンスのソフトウェアはチップに組み込まれています。ファームウェアベースのファイアウォール製品は、より大容量のサーバーに移行できません。オペレーティングシステム上で動作するファイアウォールソフトウェアは、サーバーの処理能力を強化できるため、常に拡張可能です。ホストベースのファイアウォールは、サーバーのオペレーティングシステム上で動作し、拡張可能です。非武装地帯（DMZ）はファイアウォール実装のモデルであり、ファイアウォールアーキテクチャではありません。