セクション: 情報セキュリティガバナンス
Explanation:
BIA は、リスクの現状を判断するプロセスの一部として組み込まれており、影響からの許容可能な対応レベルと現在の対応レベルを判断し、ギャップ分析につながるのに役立ちます。
適切な予算編成は結果として得られるかもしれませんが、分析を実行する理由にはなりません。分析を実行することで規制要件を満たすことはできますが、請求書が分析を実行する理由にはなりません。ビジネスへの影響を分析することはプロセスの一部ですが、ニーズや許容できる影響や対応も判断する必要があります。

説明
最高執行責任者 (COO) は組織内で高い地位にあり、事業運営と目標について最も多くの知識を持っています。最高内部監査員と最高法律顧問は、このような運営グループの適切なメンバーです。ただし、運営委員会の設立を後援するのは、事業の戦略と方向性に精通した人物である必要があります。セキュリティ マネージャーは、このグループに指示を求めているため、このグループの設立を監督するのに最適な立場にはありません。

説明/参照:
Explanation:
シグネチャベースの侵入検知システムは、シグネチャがまだ開発されていない新しい攻撃方法を検出しません。誤検知は必ずしも高くなるわけではなく、この場合、スプーフィングは関係ありません。長時間のプローブは、異常ベースのシステムを欺く可能性が高くなります (茹でガエル技法)。

説明
技術的な脆弱性やセキュリティ意識のレベルを評価する前に、情報セキュリティ マネージャーは現在のビジネス戦略と方向性を理解する必要があります。ビジネス継続計画を策定する前にビジネス影響分析を実行する必要がありますが、これは可用性に重点を置くため、情報セキュリティ戦略を策定する最初のステップとしては適切ではありません。

説明
情報セキュリティ ガバナンスとは、情報セキュリティ戦略がビジネス目標と一致し、適用される法律や規制に準拠していることを保証するためのフレームワークを確立し、維持するプロセスです。経営陣の支援とビジネスとの連携に加え、効果的な情報セキュリティ ガバナンスの重要な要素はセキュリティの所有権です。つまり、情報セキュリティの役割と責任が明確に定義され、ビジネス オーナー、情報所有者、情報管理者、ユーザーなどの適切な関係者に割り当てられます。セキュリティの所有権には、情報資産の保護とセキュリティ リスクの管理に対する説明責任も含まれます。参考資料:
https://www.isaca.org/credentialing/cism
https://www.nist.gov/publications/information-security-handbook-guide-managers