説明/参照:
Explanation:
セキュリティ運営委員会は、経営陣が意見を表明し、意思決定プロセスにある程度の責任を負うためのフォーラムを提供します。ビジネス プロセスの所有者をこのプロセスに含めることが不可欠です。他の選択肢には、ビジネス プロセス所有者による入力は含まれません。

説明
サイバーセキュリティ ポリシーは、情報資産をサイバー脅威から保護するための組織の目的、原則、期待を定義する高レベルの記述です。サイバーセキュリティ ポリシーは、サイバーセキュリティ戦略、計画、手順、標準、ガイドラインを開発および実装するための基盤を提供します。ただし、サイバーセキュリティ ポリシーだけでは効果的なサイバーセキュリティを確保するのに十分ではありません。また、組織は、ハードウェア、ソフトウェア、人員、トレーニング、テスト、監査、インシデント対応など、サイバーセキュリティ管理の実装と維持をサポートするために十分な予算リソースを割り当てる必要があります。十分なサイバー予算の割り当ては、組織のサイバーセキュリティへの取り組みを示し、サイバーセキュリティの目標を達成することができます。参考文献: https://www.isaca.org/credentialing/cism
https://www.wiley.com/en-us/CISM+Certified+Information+Security+Manager+Study+Guide-p-978111980194

説明
セキュリティ意識向上プログラムは、従業員が安全な行動や慣行を採用するよう教育し、動機付けることを目的とした一連の活動です。セキュリティ意識向上プログラムは、組織のビジョン、使命、目標、目的を定義する組織のビジネス戦略と連携する必要があります。セキュリティ意識向上プログラムをビジネス戦略と連携させる際に考慮すべき最も重要な要素は、組織の人材と文化です。なぜなら、彼らが主な対象者であり、プログラムの主要な推進者であるからです。組織の人々と文化は、情報セキュリティに対する従業員の意識レベル、態度、行動に影響を与えます。したがって、セキュリティ意識向上プログラムは、組織の人々や文化の特定のニーズ、好み、価値観、期待に合わせて調整する必要があり、適切な方法、チャネル、メッセージ、インセンティブを使用して、人々に関与して影響を与える必要があります。組織の人々や文化に合わせたセキュリティ意識向上プログラムは、その目的を達成し、組織全体のセキュリティ体制を改善する可能性が高くなります。
参考文献
CISM レビュー マニュアル、第 15 版、1631 ページ
CISM 2020: 情報セキュリティとビジネス プロセスの調整、ビデオ 22

説明
情報セキュリティ チームにイベント後のレビューを実行させることに伴う利益相反を回避することが常に望ましいです。サードパーティ チームの専門知識を強化するためのサポートを得られることは利点の 1 つですが、主な推進力ではありません。情報セキュリティ管理プロセスをさらに改善するために得られた教訓を特定することが、事後レビューを実行する一般的な目的です。情報セキュリティ プログラムに対するより良い賛同を得ることは、サードパーティ チームを関与させる正当な理由にはなりません。