説明
組織がサイバー攻撃の増加によるリスクを軽減するための最善の対応は、リスクを再検証して許容レベルまで軽減することです。つまり、組織は現在のリスク プロファイルを見直し、新しい脅威、脆弱性、または影響を特定し、既存の管理と対策の有効性を評価する必要があります。この分析に基づいて、組織はリスクの回避、移転、受け入れ、または軽減などの適切なリスク処理戦略を実施し、望ましいリスク選好度とリスク許容度を達成する必要があります。組織はまた、リスク状況と実施された管理を定期的に監視および見直し、それに応じてリスク管理計画を更新する必要があります。このアプローチは、IT リスク管理をビジネス目標と価値に合わせる方法に関するガイダンスを提供する ISACA リスク IT フレームワークと一致しています12。
その他のオプションは、対象範囲が狭すぎるか、反応的すぎるため、最適な対応とは言えません。インシデント対応チームの予算と人員を増やすと、組織のサイバー攻撃への対応能力と回復能力は向上するかもしれませんが、攻撃の根本的な原因や防止には対処できません。
侵入検知システム (IDS) を導入すると、組織の検知および分析能力は強化されますが、攻撃の防御や軽減が保証されるわけではありません。事業継続計画 (BCP) をテストすると、サイバー攻撃が発生した場合に重要な業務を継続するための組織の準備と回復力を確認できますが、攻撃の可能性や影響を軽減することはできません。参考資料 = リスク IT フレームワーク 1 CISM レビューマニュアル、第 16 版 | 印刷 | 英語 2、第 3 章: 情報リスク管理、ページ
97-98、103-104、107-108、111-112。

説明
法的および規制上の要件は、情報セキュリティ戦略を策定する際に考慮すべき最も重要な制約です。法的制裁、罰金、または評判の低下を回避するために組織が遵守しなければならないセキュリティの最低レベルを定義するためです。法的および規制上の要件は、管轄区域、業界、組織が扱うデータの種類によって異なる場合があり、組織が従わなければならない特定のセキュリティ管理、標準、またはフレームワークを課す場合があります。参考資料 = CISM レビュー マニュアル、第 16 版、第 1 章、セクション 1.2.1.11

説明
能力成熟度モデル (CMM) は、セキュリティ プロセスの各定義領域を成熟度に基づいて 0 から 5 のスケールで評価し、組織が現在の状態を測定して望ましい状態を決定するために一般的に使用されます。セキュリティ監査レポートは、セキュリティの現在の状態を限定的に表示します。バランス スコアカードは、経営陣が戦略の実装を測定し、それを行動に移すのに役立つドキュメントです。システムとビジネス セキュリティ アーキテクチャは、ビジネス戦略、目的、関係、リスク、制約、およびイネーブラーの観点から組織のセキュリティ アーキテクチャを説明し、ビジネス主導でビジネスに重点を置いたセキュリティ アーキテクチャのビューを提供します。