ソーシャル エンジニアリングを最も効果的に軽減するには、そのような試みの対象となる可能性のあるスタッフ メンバーに対する定期的なセキュリティ意識向上トレーニングを実施します。パスワード変更の頻度を変更したり、パスワードを強化したり、パスワードのリセット回数を確認したりすることは望ましいかもしれませんが、ソーシャル エンジニアリング攻撃の可能性を減らすにはそれほど効果的ではありません。

セクション: 情報セキュリティ プログラム管理
Explanation:
標準は、高レベルのポリシー ステートメントと詳細な手順の「ハウツー」の間の橋渡しとなります。
セキュリティのメトリクスとガバナンスでは、ポリシーと手順の間の正しい調整が保証されません。
同様に、ガイドラインはリンク文書ではなく、ベストプラクティスに関する推奨ガイダンスを提供します。

説明
= リスクの特定は、IT リスク管理プロセスの最初で最も重要なステップであり、特に組織が新しいテクノロジー、プロセス、ビジネス モデルを導入するデジタル変革を進めている場合には重要です。リスクの特定には、組織の目的、資産、利害関係者に影響を与える可能性のある IT 関連リスクの原因、原因、および潜在的な結果を特定することが含まれます。リスクの特定は、その後のリスク分析、評価、治療のためのリスクの背景、範囲、基準を確立するのにも役立ちます。リスクを特定しなければ、情報セキュリティ管理者はリスクの影響を効果的に評価したり、リスクに優先順位を付けたり、適切な管理を実施したり、リスクパフォ​​ーマンスを監視したり、関係者にリスク情報を伝達したりすることができません。
参考文献 = CISM レビュー マニュアル、第 16 版、第 2 章: 情報リスク管理、セクション: リスクの特定、841 ページ。CISM レビュー問題、解答および解説マニュアル、第 10 版、質問
34、352ページ。

説明
最小特権の原則を実装するには、主に職務を特定する必要があります。この原則では、ユーザーには職務を遂行するために必要な最小限のアクセス権のみが与えられるべきであると規定されています。各ユーザーの具体的な職務を特定することで、組織は必要なアクセスの最小レベルを決定し、不必要なリソースへのアクセスを制限できます。これは、悪意のあるユーザーまたは侵害されたユーザーによって引き起こされる可能性のある潜在的な損害を最小限に抑えるのに役立ちます。