説明
企業文化は、組織とそのメンバーの価値観、信念、行動を反映するため、情報セキュリティ プログラムに対する組織全体の支持を得ようとするときに考慮すべき最も重要な要素です。企業文化は、組織が情報セキュリティのリスクと問題をどのように認識し、優先順位を付け、対応するか、また、情報セキュリティのポリシーと実践をどのように採用および実装するかに影響を与えます。情報セキュリティ管理者は、企業文化を理解し、それに合わせることで、情報セキュリティ プログラムのメリットと価値を伝え、組織全体に積極的で協力的なセキュリティ文化を育むことができます。
参考文献: CISM レビュー マニュアル 2023 では、「企業文化とは、組織とそのメンバーを特徴づける共通の価値観、信念、行動の集合である」と述べられており、「企業文化は、組織が情報セキュリティのリスクと問題をどのように捉え、管理するかに影響を与え、情報セキュリティのポリシーと実践をどのようにサポートおよび実装するか」(p. 81)。CISM レビューの質問、回答および説明マニュアル 2023 では、この回答について次の理論的根拠も提供されています。「企業文化は正しい答えです。なぜなら、情報セキュリティ プログラムに対する組織全体のサポートを得ようとするときに考慮すべき最も重要な要素だからです。それは、組織とそのメンバーの価値観、信念、行動を反映しており、情報セキュリティのリスクと問題をどのように認識し、優先順位を付け、対応するか、また情報セキュリティのポリシーと実践をどのように採用し実行するかに影響を与えます。」 (p. 23) 。さらに、ISACA Journal 2019 の記事 Building a Culture of Security では、「企業文化は情報セキュリティ プログラムの成功または失敗を決定する重要な要素である」と述べており、「企業文化は情報の実現を可能にするものにも障壁にもなり得る」と述べています。セキュリティは、組織の情報セキュリティの目的、価値観、慣行とどの程度一致しているかに応じて異なります。」 (p. 1)

説明
脆弱性の 1 つを悪用するコードが公開されている場合、誰でも簡単に脆弱性を悪用して Web アプリケーションを侵害できるため、最大の懸念が生じます。これにより、データ侵害、サービス妨害、その他の悪意のある攻撃のリスクが高まります。したがって、いずれかの脆弱性に対するエクスプロイト コードが公開されているというのが正解です。
参考文献:
* https://www.imperva.com/learn/application-security/penetration-testing/
* https://www.netspi.com/blog/technical/web-application-penetration-testing/are-you-testing-your-web-appl

効果的なセキュリティ管理を示す最良の指標は、業務の中断がほとんどないことを示す証拠です。選択肢 B、C、D はこの証拠を裏付けることができますが、選択肢 A を補足するものです。

説明
ソース コード レビューは、アプリケーションのバックドアを見つけて削除する最良の方法です。ブラックボックス侵入テストやセキュリティ監査を使用してアプリケーションのバックドアを特定することは、ほとんど不可能です。脆弱性スキャンで見つかるのは、
「既知の」脆弱性パターンを使用するため、プログラマのアプリケーション バックドアは見つかりません。