セクション: 情報セキュリティ プログラムの開発
説明/参照:
Explanation:
公開キー基盤 (PKI) の主な目的は、強力な認証を提供することです。機密性は、PKI によって配布されるセッション キーの機能です。Active Directory では、認証に PKI を使用することも、他の手段を使用することもできます。Secure Sockets Layer (SSL) 暗号化では認証にキーが必要ですが、それが PKI を導入する主な理由ではありません。

セクション: 情報セキュリティガバナンス
Explanation:
明確に定義された役割と責任がなければ、説明責任は果たせません。選択肢 A は不正解です。ポリシーの遵守には、まず適切に定義された説明責任が必要であり、そのため副産物となるからです。選択肢 B は不正解です。適切に設計されていない手順を実行するよう担当者が割り当てられる可能性があります。選択肢 C は不正解です。職務の分離は自動的に行われないため、役割には依然として相反する職務が含まれる可能性があります。

情報セキュリティへの取り組みに対する投資収益率 (ROI) の計算が難しい場合、ビジネス ケースに含めるのが最善のことは、リスクの推定削減です。リスクの軽減は、組織の情報資産やシステムに影響を与える可能性のある脅威や脆弱性の可能性と影響を軽減するため、情報セキュリティ イニシアチブを導入することで期待される利点です。リスクの軽減を見積もることにより、情報セキュリティ管理者は、組織の業績、評判、競争力に対する情報セキュリティへの取り組みの価値と利点を実証できます。情報セキュリティ管理者は、リスクの推定削減量と情報セキュリティ イニシアチブの推定コストを比較して、その費用対効果と実現可能性を判断することもできます。他のオプションは、リスク評価プロセスのインプットまたはアウトプットである可能性がありますが、ビジネス ケースに含めるのが最善のものではありません。情報セキュリティ イニシアチブを導入すると、情報セキュリティ リスクを管理する組織の能力とプロセスが向上するため、成熟度レベルの向上が予測されます。ただし、情報セキュリティ イニシアチブの実際のリスク削減や ROI が必ずしも反映されるわけではありません。長期にわたる予測コストは、情報セキュリティ イニシアチブの総所有コストと維持コストを反映するため、情報セキュリティ イニシアチブの ROI を計算する際の要素となります。ただし、この取り組みによって期待される利益や価値を示すものではありません。組織の生産性とパフォーマンスが向上する可能性があるため、情報セキュリティ イニシアチブを導入することで効率が向上すると推定され、利点が得られる可能性があります。ただし、それは情報セキュリティ イニシアチブのリスクの軽減や ROI に直接関係しない可能性があります。

説明/参照:
Explanation:
リスク環境は、テクノロジーの変化やビジネス戦略などの要因の影響を受けます。これらの変更により、組織に新たな脅威と脆弱性が導入されます。したがって、リスク評価は継続的に実行する必要があります。予算の正当化がリスク評価を実行する主な理由であってはなりません。新しい脆弱性は、パッチ管理プロセスを通じて管理する必要があります。新たなリスクについて経営陣に知らせることは重要ですが、リスク評価をいつ実行するかを決定する主な要因ではありません。