説明
最高執行責任者 (COO) は組織内で高い地位にあり、事業運営と目的について最も詳しい知識を持っています。主任内部監査人および主任法律顧問は、そのような運営グループの適切なメンバーです。ただし、運営委員会の設立の支援は、ビジネスの戦略と方向性に精通した人物によって開始される必要があります。セキュリティ管理者はこのグループに指示を求めているため、このグループの形成を監督するのに最適な立場にありません。

説明/参照:
Explanation:
情報セキュリティ管理者は、全従業員に対するセキュリティ意識向上トレーニングの必要性を人事部門に認識させる必要があります。予算の考慮はむしろ会計機能です。
人事部門は、セキュリティ意識向上トレーニングの必要性を確信したら、関与することになります。IT に精通したスタッフを採用すると、情報セキュリティに対する意識が高まった新入社員が入社する可能性がありますが、それは他の従業員のトレーニング要件に代わるものではありません。
定期的なリスク評価には、人事部門の機能が関与する場合もあれば、関与しない場合もあります。

説明
提案依頼書 (RFP) 段階でセキュリティ要件を確実に定義することは、組織の契約管理プロセスにおいて最も効果的なセキュリティ成果となります。これにより、両当事者に対するセキュリティの期待と義務が確立および伝達され、組織が評価および選択できるようになるからです。最も適切で安全なベンダーまたはサービスプロバイダー。RFP 段階でベンダー セキュリティ ベンチマーク分析を実行することは、効果的なセキュリティ結果ではなく、セキュリティ機能やパフォーマンスに基づいてさまざまなベンダーやサービス プロバイダーを比較し、ランク付けすることを含むセキュリティ活動の可能性があります。
契約終了時の資産廃棄をカバーするためにセキュリティ評価を拡張することは、効果的なセキュリティ成果ではありません。むしろ、組織に属する資産またはデータが最終的にベンダーまたはサービスプロバイダーによって安全に廃棄されることを検証および検証することを含むセキュリティ活動の可能性があります。契約の。ランダム侵入テストを含めるようにセキュリティ評価を拡張することは、効果的なセキュリティ成果ではなく、むしろ、契約期間中にランダムな間隔でベンダーまたはサービス プロバイダーのセキュリティ制御またはシステムをテストおよび監査することを含むセキュリティ活動の可能性があります。参考文献:
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-1/data-ownership-and-custodianship-in-the-cl
https://www.isaca.org/resources/isaca-journal/issues/2016/volume-4/integrating-assurance-functions