リスク評価プロセスは継続的であり、確立されたプロセスを変更する場合は、新しいリスク評価を含める必要があります。SAS 70 レポートのレビューと脆弱性評価はリスク評価の構成要素となる場合がありますが、どちらも単独では十分なデューデリジェンスにはなりません。

説明
送信者の秘密鍵による暗号化により、認証と否認防止が保証されます。受信者の公開鍵による暗号化により、機密性が保証されます。

説明
組織が災害復旧プログラムを管理するのに災害復旧サービス (DRaaS) を使用する主な利点は、B. 組織がコア業務を優先できることです。これは、DRaaS がクラウド コンピューティング サービス モデルであるためです。DRaaS を使用すると、組織はデータと IT インフラストラクチャをサードパーティのクラウド コンピューティング環境にバックアップし、すべての災害復旧オーケストレーションを SaaS ソリューションを通じて提供して、災害後に IT インフラストラクチャへのアクセスと機能を回復できます1。DRaaS は、次の方法で組織がコア業務を優先するのに役立ちます。
コストがかかり、複雑で、多くのリソースを消費する可能性がある、独自のオフサイトの災害復旧環境のプロビジョニングと維持の必要性を軽減します12 組織が、災害の影響を受けた物理サーバーではなく、サービス プロバイダーのクラウドまたはハイブリッド クラウド環境からアプリケーションを引き続き実行できるようにします。これにより、ダウンタイム、データ損失、および業務の中断を最小限に抑えることができます12 組織に、オンデマンド、従量課金、サブスクリプション ベースのモデルなど、変化するビジネス ニーズと予算に対応できる柔軟でスケーラブルな導入オプションを提供します12 災害復旧の計画、テスト、および実行を処理し、関連する標準と規制への準拠を確保できるサービス プロバイダーの専門知識、経験、およびベスト プラクティスを活用します12 DRaaS は、組織がデータと IT インフラストラクチャをサード パーティのクラウド コンピューティング環境にバックアップし、災害復旧オーケストレーションのすべてを SaaS ソリューションを通じて提供して、災害後に IT インフラストラクチャへのアクセスと機能を回復できるようにするクラウド コンピューティング サービス モデルです。 DRaaS は、組織が独自のオフサイト災害復旧環境のプロビジョニングと維持の必要性を減らし、サービス プロバイダーのクラウドまたはハイブリッド クラウド環境からアプリケーションを継続的に実行できるようにし、組織に柔軟でスケーラブルな展開オプションを提供し、サービス プロバイダーの専門知識、経験、ベスト プラクティスを活用することで、組織がコア業務を優先するのに役立ちます。(CISM マニュアルまたは関連リソースより)

セクション: 情報セキュリティプログラム管理
Explanation:
ビジネス プロセス所有者、情報セキュリティ マネージャー、セキュリティ運営委員会が構成管理計画に関する意見を提供することはできますが、最終的な承認は IT 上級管理者の主な責任となります。

説明/参照:
Explanation:
侵入検知システム (IDS) が適切に調整されていない場合、許容できない数の誤検知が生成されたり、実際の攻撃が行われているときに警告が鳴らなかったりします。パッチの適用はオペレーティング システムの強化に関係しますが、暗号化やパケット フィルタリングはそれほど重要ではありません。