セクション: 情報リスク管理
Explanation:
リスク受容は、リスク軽減プロセスで検討すべき選択肢の 1 つです。評価と査定はリスク分析プロセスの構成要素です。リスク受容は監視の構成要素ではありません。

セクション: インシデント管理と対応
Explanation:
取締役会および経営幹部は、情報セキュリティ ガバナンス成熟度モデルを使用して、組織内のセキュリティのランク付けを行うことができます。ランクは、非存在、初期、反復可能、定義済み、管理済み、最適化済みです。組織内の IT セキュリティの責任が明確に割り当てられ、実施され、IT セキュリティのリスクと影響の分析が一貫して実行されている場合、それは「管理され、測定可能」であると言えます。

主要業績評価指標 (KPI) は、セキュリティ レポート内で将来の傾向を伝えるのに最も効果的です。KPI は、特定の目標または目的に対する進捗状況を測定するために使用される指標であり、セキュリティの現在の状態と、将来発生する可能性のある潜在的な問題やリスクについての洞察を提供できます。主要管理指標 (KCI)、主要リスク指標 (KRI)、主要目標指標 (KGI) はすべて、セキュリティ パフォーマンスを測定し、改善領域を特定するために重要ですが、KPI は将来の傾向を伝えるのに最も効果的です。
この声明を裏付ける参考文献には以下のものがあります。
ISACA による「IT セキュリティの主要業績評価指標 (KPI)」。このリソースでは、KPI は「セキュリティ制御のパフォーマンスを測定し、セキュリティ リスクの傾向を特定するために使用できる」と説明されています。
The Open Group による「情報リスクの測定と管理: FAIR アプローチ」。このガイドでは、「KPI は、時間の経過に伴う進捗状況を追跡し、改善が必要な領域を特定するために使用されます」と述べられています。
SANS Institute による「サイバー セキュリティの主要業績評価指標 (KPI)」。このリソースでは、「KPI は潜在的なリスクを特定し、セキュリティ制御の有効性を測定するために使用できます」と説明されています。

説明
ガバナンス フレームワークを改善し、より高いレベルの成熟度を達成するには、組織は、現在の成熟度の状態と比較して、継続的な分析、監視、およびフィードバックを実施する必要があります。セキュリティ投資収益率 (ROSD) は、セキュリティ関連アクティビティのパフォーマンス結果を示す場合がありますが、結果は金銭の観点から解釈され、セキュリティ イニシアティブの複数の側面に及びます。したがって、適切なオプションではない可能性があります。継続的なリスク削減は、セキュリティ ガバナンス フレームワークの有効性を実証しますが、より高いレベルの成熟度を示すものではありません。主要リスク指標 (KRD) の設定は、内部統制評価で使用するツールです。KRI の設定は、ビジネス プロセスで統制が侵害されている場合に経営陣に警告するためのしきい値を示します。これは、成熟度モデルのサポート ツールではなく、制御ツールです。