情報セキュリティ管理は、情報の変更、使用の拒否、または開示のリスクに比例する必要があります。ビジネス ルール (データ アクセスの種類) を実行するためにその職務に必要な量を超えるデータが職務記述に割り当てられているかどうかを知ることをお勧めします。倫理と統合の原則は、職務内容をデータ アクセスの種類にマッピングすることとはほとんど関係がありません。説明責任の原則は、データにアクセスできる人が常に説明責任を負うわけではなく、操作の実行を要求される場合があるため、2 番目に遵守されている原則となります。

エンド ユーザーは実装に対して異なる反応を示す可能性があり、特定の好みがある場合があります。情報セキュリティ管理者は、ある文化では合理的であるとみなされることが、別の文化では受け入れられない可能性があることを認識する必要があります。文化の結果として拒否されたものは予算を考慮してもうまく実装できないため、予算配分の影響は小さくなります。新しいスタッフを採用したり、既存のスタッフをトレーニングしたりできるため、スタッフの技術的スキルによる影響は少なくなります。重要ではありますが、パスワード要件は実装の成功を保証する可能性が低くなります。

セクション: インシデント管理と対応
Explanation:
セキュリティ侵害を調査する場合、侵入者が残した証拠の痕跡をすべて保存することが重要です。
このため、後で分析できるようにマシンのメモリの内容を保存することが不可欠です。正しい答えは選択肢 C です。適切なツールを実行すると、システム全体のメモリのコピーが将来の分析のために取得されるからです。弁護士が捜査中にシステムが変更されたと示唆する可能性があるため、これは法的な観点からも重要です。侵害されたマシンでコンピュータフォレンジックツールを実行すると、証拠を上書きする可能性のあるプロセスが少なくとも 1 つ作成されます。マシンを再起動するとメモリの内容が削除され、潜在的な証拠が消去されます。現在の接続に関する情報を収集し、開いている伝送制御プロトコル/ユーザー データグラム プロトコル (TCP/UDP) ポートを収集することは正しいことですが、ツールを使用してこれを行うと、メモリの内容も消去される可能性があります。

セキュリティ関連の KRI は、ビジネス目標の達成とリスクの管理における情報セキュリティ プロファイルの有効性を測定する指標です。セキュリティ関連の KRI をレビューすると、ビジネスに関連するセキュリティのパフォーマンスと結果が反映されるため、情報セキュリティ プロファイルがビジネス要件と一致しているかどうかを判断するのに役立ちます。KPI、CSA、監査などの他のオプションを確認すると、セキュリティのステータスについて何らかの洞察が得られる可能性がありますが、ビジネスのコンテキストや目標を適切に把握できない可能性があるため、ビジネス要件との整合性を評価するための最良の方法ではありません。参照：
https://www.nist.gov/cyberframework/examples-framework-profiles
https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/accountability-for-information-security-roles-and-responsibility-part-1
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-4/enterprise-security-architecturea-top-down-approach

説明
CISM マニュアルによれば、セキュリティ デバイスを管理するための更新手順は、組織のセキュリティ フレームワーク、手順変更の管理者への通知、または管理者による手順のレビューと承認ではなく、リスク テクノロジとプロセスの変更に基づく必要があります1。これらは、組織のセキュリティ体制に対する変更の実際の影響を反映していないため、セキュリティ デバイスの管理手順を更新する際の最も重要な考慮事項ではありません。
CISM マニュアルには、「セキュリティ デバイスに影響を与えるリスク テクノロジまたはプロセスに重大な変更があった場合は常に、セキュリティ デバイスの管理手順を更新する必要がある」と記載されています (IR 8287A)1。たとえば、新しいセキュリティ デバイスが導入された場合、または既存のセキュリティ デバイスが交換された場合、それに応じて手順を更新する必要があります。同様に、セキュリティ デバイスの構成、監視、保守の方法に影響を与える新しいリスク テクノロジまたはプロセスが実装された場合、その手順も同様に更新する必要があります1。
CISM マニュアルには、体系的かつ一貫した方法でセキュリティ デバイスを管理するための手順を更新する方法に関するガイダンスも記載されています。セキュリティ デバイス手順への変更の特定、分析、承認、実装、評価を含む変更管理プロセスの使用を推奨しています1。また、セキュリティ デバイス手順の変更を実装前にレビューおよび承認する、さまざまな利害関係者の代表者で構成される変更管理委員会 (CCB) を使用することも提案しています1。
参考資料: 1: IR 8287A - セキュリティ デバイスの管理 | CSRC NIST