説明
マニュアルに記載されている説明は次のとおりです。
インシデントの分類基準により、組織はその影響と緊急性に基づいてインシデントに優先順位を付けることができます。これにより、復旧リソースの最適な割り当てが可能になり、ビジネスの中断を最小限に抑え、通常の業務をタイムリーに復元できるようになります。他の選択肢はインシデント管理の利点ですが、インシデントの分類基準には直接関係しません。

説明
CISM マニュアルによれば、組織のリスク選好とは、組織が目的を達成するために喜んで受け入れるリスクの量と種類のことです1。組織のリスク選好度は、組織の資産と業務を保護するために必要なセキュリティ管理、リソース、アクティビティのレベルを決定するため、情報セキュリティ プログラムの開発と保守の指針となる必要があります1。
CISM マニュアルでは、「情報セキュリティ プログラムは、組織のリスク許容度および戦略目標を反映する、組織のリスク選好と一致する必要がある」(IR 8288A)1 と述べられています。情報セキュリティ プログラムでは、組織の使命、ビジョン、価値観、文化、利害関係者、規制、標準、ガイドライン、ベスト プラクティスなど、組織のリスク選好に影響を与える他の要素も考慮する必要があります1。
CISM マニュアルは、組織のリスク選好に基づいて情報セキュリティ プログラムを開発および維持する方法についてのガイダンスも提供します。組織の情報資産に影響を与えるリスクの特定、分析、評価、治療、監視、およびレビューを含むプロセスの使用を推奨しています1。また、組織のリスク選好に基づいた情報セキュリティ プログラムの開発をサポートするフレームワークまたはモデルを使用することも提案されています (ISO/IEC 27001 など)1。
参考資料: 1: IR 8288A - 情報セキュリティ プログラム開発 | CSRC NIST

説明
運営委員会に代表される上級管理職は、組織がどのレベルのリスクを受け入れるかを決定する最終的な責任を負います。弁護士、外部監査人、およびセキュリティ管理者はそのような決定を下す立場にありません。

説明
電子商取引の注文処理 Web サーバーと内部ネットワークを外部攻撃から保護するには、電子商取引注文処理 Web サーバーを DMZ 内に配置する必要があります。これを内部ネットワークに配置すると、内部ネットワークがインターネットからの潜在的な攻撃にさらされることになります。データベース サーバーは内部ネットワーク上に存在する必要があるため、同じ危険にさらされる可能性があります。通常、ドメイン コントローラーは Web サーバーと同じ物理デバイスを共有しません。