セクション: 情報リスク管理
説明/参照:

パスワード ポリシーを改訂する最も適切な理由は、リスク評価です。リスク評価とは、情報資産とシステムの機密性、整合性、可用性に影響を与える可能性のある潜在的な脅威と脆弱性を特定、分析、評価するプロセスです。リスク評価を実施することで、組織は、パスワード ポリシーを含む情報資産とシステムを保護するための適切なレベルのセキュリティ制御と対策を決定できます。また、リスク評価は、既存のパスワード ポリシーのギャップや弱点を特定し、組織のリスク選好度とリスク許容度に基づいて改善の推奨事項を提供するのに役立ちます。その他のオプションは、リスク評価プロセスの入力または出力の一部である可能性がありますが、パスワード ポリシーを改訂する最も適切な理由ではありません。ベンダーの推奨事項は、組織の特定のコンテキストとニーズに関連または適用できるかどうかわからない、外部のアドバイスまたはガイダンス ソースです。ベンダーの推奨事項は、その適合性と有効性を評価するためのリスク評価を実施せずに盲目的に従うべきではありません。監査の推奨事項は、正確または完全であるかどうかわからない、フィードバックまたは提案の内部ソースです。監査の推奨事項は、その妥当性と実現可能性を検証するためのリスク評価を実施せずに実装すべきではありません。業界のベストプラクティスは、組織の独自の特性と要件を反映している場合もそうでない場合もある一般的な標準またはガイドラインです。業界のベストプラクティスは、組織の目標と優先順位に応じてカスタマイズするためのリスク評価を実施せずに採用すべきではありません。