解雇されたユーザーのアカウントの多くが無効化されていないことを確認した後、情報システム監査人が次に行うべきステップは、解雇されたユーザーのアカウントアクティビティのレビューです。これは、解雇されたユーザーのアカウントが解雇日以降にアクセスまたは使用されたかどうかを確認することを意味します。これらのアクティビティは、不正または詐欺行為の兆候となる可能性があります。情報システム監査人はまた、そのようなアクティビティがITリソースとデータの機密性、完全性、および可用性に及ぼす影響とリスクを評価する必要があります。その他の選択肢は、問題の範囲と影響に関する十分な証拠や保証を提供しないため、解雇されたユーザーのアカウントアクティビティのレビューほど適切ではありません。参考文献：CISAレビューマニュアル、第27版、240ページ

経営陣が承認するITポリシーの例外が多数ある場合の最大の懸念は、例外がコンプライアンス違反につながる可能性があることです。ITポリシーの例外とは、経営陣が特定の理由と状況に基づいて承認する、確立されたITポリシーからの逸脱です。しかし、例外が多すぎる場合、ITポリシーがビジネスニーズ、規制要件、またはベストプラクティスと一致していないことを示している可能性があります。これは、コンプライアンス違反による法的リスク、契約リスク、または風評リスクに組織がさらされる可能性があります。その他の選択肢は、コンプライアンス違反ほど大きな影響や結果をもたらさないため、コンプライアンス違反ほど懸念されるものではありません。例外が無期限に続く可能性は、例外が多数ある場合の結果として生じる可能性がありますが、必ずしも組織に悪影響を与えるとは限りません。例外によって運用リスクのレベルが上昇する可能性は正当な懸念事項ですが、代替管理や監視メカニズムを導入することで軽減できます。例外がプロセス効率に悪影響を与える可能性は、ITプロセスの有効性や信頼性に影響を与えないため、軽微な懸念事項です。参考文献: CISAレビューマニュアル（デジタル版）、第3章、セクション3.2

フィッシング攻撃は様々な方法で仕掛けられます。侵入検知システム（IDS）や強力な認証システムでは、ほとんどの種類のフィッシング攻撃を防御できません。ウェブサイトのセキュリティを評価しても、リスクを軽減することはできません。フィッシングでは、正規のサーバーを装ったサーバーが利用されます。フィッシングのリスクを軽減する最善の方法は、疑わしいインターネット通信には注意し、確認されるまで信用しないようにユーザーを教育することです。疑わしいウェブページやメールを見分けるには、十分なトレーニングが必要です。

ネットワーク監査を計画する際に最も重要な要素は、ネットワーク上の既存のノードを識別することです。
ノードとは、ネットワークに接続され、相互に通信可能なデバイスまたはシステムです。ノードには、サーバー、ワークステーション、ルーター、スイッチ、ファイアウォール、プリンター、スキャナー、カメラなどが含まれます。ネットワーク上の既存のノードを特定することで、監査人は監査の範囲、目的、方法を決定するのに役立ちます。また、ネットワークのトポロジ、アーキテクチャ、パフォーマンス、セキュリティ、コンプライアンスを評価するのにも役立ちます。参考資料：
* CISAレビューマニュアル（デジタル版）
* CISA 質問、回答、解説データベース

説明
完全中断テストは、組織の災害復旧計画（DRP）の目標復旧時間（RTO）を確実に達成するための、最も現実的で信頼性の高い方法です。RTOとは、災害発生後に企業がオフライン状態を許容できる最大時間です。完全中断テストでは、プライマリサイトをシャットダウンし、バックアップサイトに切り替えて、実際の災害シナリオをシミュレートします。このテストでは、事業継続に不可欠なシステム、アプリケーション、および機能の復旧にかかる実際の時間を測定できます。また、完全中断テストによって、復旧プロセスに影響を与える可能性のあるDRPの問題やギャップも明らかになります。
その他のオプションは、RTOの達成を保証する上で、完全中断テストほど効果的ではありません。サイバーレジリエンステストは、サイバー攻撃への耐性と復旧能力に重点を置いたDRテストの一種です。必ずしも他の種類の災害をカバーしたり、DRP全体をテストしたりするものではありません。テーブルトップテストは、主要な関係者とスタッフによるDRPのウォークスルーを含む、影響の少ないDRテストです。バックアップシステムの実際の切り替えやテストは行われません。並列テストは、通常の業務を中断することなく、バックアップシステムをプライマリシステムと並行して実行するDRテストの一種です。バックアップサイトでの切り替えや業務再開にかかる時間を測定するものではありません。
参考文献:
災害復旧テストのベストプラクティス
災害復旧テスト
災害復旧テスト：知っておくべきことすべて