説明/参照:
Explanation:
アプリケーション サーバーは通常、内部ネットワークを保護するために非武装地帯 (DMZ) 内に配置する必要があります。データ ウェアハウスや部門サーバーには機密データや貴重なデータが含まれている可能性があるため、常に内部ネットワーク上に配置する必要があります。危険にさらされる可能性のある DMZ 上には配置しないでください。プロキシ サーバーは DMZ の内部境界を形成しますが、DMZ 内には配置されません。

セクション: 情報リスク管理
Explanation:
最初にデータ所有者に通知して、損害の範囲を判断し、コンピュータ インシデント対応チームと是正措置の計画を調整するための措置を講じる必要があります。その他の関係者には、企業ポリシーと規制要件に従って後で通知されます。

セクション: 情報セキュリティプログラム開発
Explanation:
変更管理は、システムに変更を導入するプロセスを制御します。変更管理が適切に行われないと、本来は安全なシステムに新たな弱点がもたらされる可能性があります。パッチ管理は、元のプログラム コードに修正を適用することで、発見された弱点を修正します。セキュリティ メトリックは、有効性を測定する手段を提供します。バージョン管理は、変更管理のサブセットです。

アウトオブバンド チャネルは、機密性を保つためにメッセージを 2 つの部分に分割し、異なる方法で送信する必要がある場合に役立ちます。デジタル署名は否認防止のみを提供します。逆引き変換では、インターネット プロトコル (IP) アドレスをユーザー名に変換します。配信パス トレースでは、経由したルートが表示されますが、送信者の ID は確認されません。

説明
セキュリティ関連の KRI は、ビジネス目標の達成とリスク管理における情報セキュリティ プロファイルの有効性を測定する指標です。セキュリティ関連の KRI はビジネスに関連するセキュリティ パフォーマンスと成果を反映しているため、セキュリティ関連の KRI を確認すると、情報セキュリティ プロファイルがビジネス要件と一致しているかどうかを判断するのに役立ちます。KPI、CSA、監査などの他のオプションを確認すると、セキュリティの状態に関する洞察が得られる場合があります。ただし、ビジネス コンテキストと目標を適切に把握できない可能性があるため、ビジネス要件との一致を評価する最善の方法ではありません。参考資料:
* https://www.nist.gov/cyberframework/examples-framework-profiles
* https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/accountability-for-information-securi
* https://www.isaca.org/resources/isaca-journal/issues/2017/volume-4/enterprise-security-architecturea-top-d