説明
このシナリオでは、最高情報セキュリティ責任者 (CISO) は、組織のグローバルおよび地域の要件を満たすセキュリティ プログラムの開発に最も関心を払う必要があります。これには、各事業所のさまざまな法的要件や規制要件を考慮し、これらの要件をすべて満たすセキュリティ プログラムを設計することが含まれます。また、CISO は、セキュリティ プログラムのコンプライアンスと理解を確保するために、現地の規制機関との効果的なコミュニケーションを確保する必要があります。さらに、CISO は業界のベスト プラクティスと定義されたセキュリティ ポリシーおよび標準を使用して、プログラムが該当するすべての要件を満たしていることを確認する必要があります。

サーバーを隔離すると、さらなる侵入が防止され、メモリやハードドライブに残る侵入行為の証拠が保護されます。仮想メモリに残っている一部の侵入アクティビティは、システムがシャットダウンされると失われる可能性があります。ハードディスクを複製しても、証拠はハードディスク上に保存されるだけで、仮想メモリ内の証拠は保存されないため、さらなる不正アクセスの試みを防ぐことはできません。データベース ログ ファイルを保護されたサーバーにコピーしても、組織が法的手段を求める場合に十分な証拠は得られません。

セクション: 情報セキュリティ プログラム管理
説明
Explanation:
必要なセキュリティ制御がサービス プロバイダーによって確実に実装されるように、企業のセキュリティ ポリシーに基づいてセキュリティ要件を契約に含めることが重要です。監査は通常 1 回限りの作業であり、継続的なセキュリティの保証を提供することはできません。秘密保持契約 (NDA) は契約の一部である必要があります。ただし、Web サイトのセキュリティにとって重要ではありません。侵入テストだけでは、Web サイトに完全なセキュリティを提供することはできません。侵入テストではテストできないコントロールがたくさんあります。

説明
予算内の支出の利点について簡単に説明すると、要求されている購入がどのように目標や目的を達成するのかというコンテキストを伝えるのに役立ち、それが情報セキュリティ機能またはプログラムに対する信頼性の構築に役立ちます。利点の説明は、上級管理者が情報セキュリティ プログラムのサポートに参加するのにも役立ちます。予算では企業から受け取ったすべての入力と推奨事項を考慮する必要がありますが、最終的に承認のために経営陣に提出される予算には、購入を目的とした要素のみが含まれている必要があります。TCO は経営陣によって要求され、特定の購入要求の追加として提供される場合がありますが、通常は年間予算には含まれません。ベースライン比較 (他の企業や業界とのコスト比較) は、予算を作成したり、個別の購入を社内で検討する際の正当性を示すのに役立つ場合がありますが、予算承認のリクエストには含まれません。

説明
ビジネス影響分析 (BIA) は、災害、事故、または緊急事態の結果として重要な事業運営が中断された場合の潜在的な影響を特定し、評価するプロセスです。BIA の主な目的は、情報資産の重要性と、情報資産が利用できない場合の組織の使命、目的、評判への影響を判断することです。(CISM レビュー マニュアル第 15 版より) 参考文献: CISM レビュー マニュアル第 15 版、178 ページ、セクション 4.3.2.1。