セクション: 情報セキュリティガバナンス
Explanation:
情報セキュリティの優先順位が技術仕様よりも優先される場合があり、その場合は最低限のセキュリティ基準に準拠するように技術仕様を書き直す必要があります。規制とプライバシーの要件は政府によって義務付けられているため、優先されることはありません。情報セキュリティの優先順位を決定する際には、常にビジネスのニーズを優先する必要があります。

セクション: 情報セキュリティプログラム管理

説明
情報セキュリティ マネージャーの最初の行動は、脅威インテリジェンス サービスから受け取った情報の関連性を検証することです。これは、情報のソース、信頼性、正確性、適時性を確認するとともに、組織に対する脅威の潜在的影響と可能性を評価することを意味します。これは、情報セキュリティ マネージャーが適切な対応を決定し、脅威を軽減するための行動の優先順位を付けるのに役立ちます。情報セキュリティ監査の実施、ギャップ分析の実行、上級管理職への通知は、その後の可能な行動ですが、最初の行動ではありません。情報セキュリティ監査は、情報セキュリティ制御とプロセスの有効性を体系的かつ独立して評価することです。ギャップ分析は、情報セキュリティ プログラムの現在の状態を望ましい状態またはベスト プラクティスと比較することです。上級管理職への通知は、情報を検証し、リスクを評価した後で実行する必要があるコミュニケーション活動です。参考文献 = CISM レビュー マニュアル、第 16 版、44 ～ 451 ページ。 CISM レビュー問題、解答および解説マニュアル、第 10 版、632 ページ 情報セキュリティ マネージャーが潜在的な脅威を知ったときに最初に行うべきステップは、情報の関連性を検証することです。これには、脅威を調査して組織への潜在的な影響を評価し、脅威インテリジェンスの正確さを判断することが含まれます。情報が検証されると、情報セキュリティ マネージャーは、上級管理職に通知したり、情報セキュリティ監査を実施したり、ギャップ分析を実行したりするなどのアクションを実行できます。

説明/参照:
Explanation:
強力な認証により、ユーザーの身元が適切に保証されますが、IP スプーフィング対策はユーザーではなくデバイスを対象としています。暗号化プロトコルにより、データの機密性と信頼性が確保されますが、信頼できるデバイスのアクセス リストは、クライアントのなりすまし ID によって簡単に悪用されます。

WPA2 は現在、主流のワイヤレス製品向けの最も安全な認証および暗号化プロトコルの 1 つです。MAC アドレス フィルタリング自体は、許可された MAC アドレスを簡単にスニッフィングして偽装し、ネットワークに侵入できるため、適切なセキュリティ メカニズムではありません。WEP は、ワイヤレス通信用の安全な暗号化メカニズムではなくなりました。WEP キーは、広く入手可能なソフトウェアを使用して、数分以内に簡単に破ることができます。また、WEP キーが取得されると、他のすべてのワイヤレス クライアントの通信がすべて公開されます。最後に、Web ベースの認証メカニズムを使用して、ネットワークへの不正なユーザー アクセスを防止できますが、ネットワーク スニッフィングの防止など、ワイヤレス ネットワークの主なセキュリティ問題を解決することはできません。