説明
リスクは常に変化しています。以前に実施したリスク評価には、前回の評価以降に生じた測定済みのリスクが含まれていない場合があります。評価は完璧になることはなく、必ず何らかのエラーが含まれますが、これは定期的な再評価の最も重要な理由ではありません。制御をより効率的にしてコストを削減できるという事実だけでは十分ではありません。最後に、リスク評価は、セキュリティ機能の存在を正当化するためだけに実行すべきではありません。

セクション: 情報セキュリティプログラム管理

説明/参照:
Explanation:
送信者の秘密鍵による暗号化により、認証と否認防止が保証されます。受信者の公開鍵による暗号化により、機密性が保証されます。

セキュリティ管理の実装に対する組織のサポートを得るための最良の方法は、効果的な利害関係者関係を確立することです。利害関係者とは、組織の情報セキュリティの目標、活動、および結果に関心がある、または影響力を持つ個人またはグループです。利害関係者には、上級管理職、事業主、ユーザー、顧客、規制当局、監査人、ベンダーなどが含まれます。効果的な利害関係者関係を確立することで、情報セキュリティ マネージャーは、セキュリティ管理が組織のパフォーマンス、評判、および競争力にもたらす価値とメリットを伝えることができます。また、情報セキュリティ マネージャーは、セキュリティ管理が組織のニーズと期待に合致していることを確認するために、利害関係者からフィードバックや意見を求めることもできます。さらに、情報セキュリティ マネージャーは、セキュリティ管理の実装と運用を容易にするために、利害関係者間のコラボレーションと協力を促進することもできます。その他のオプションは、プロセスのいくつかのステップまたは結果である可能性がありますが、セキュリティ管理の実装に対する組織のサポートを得るための最良の方法ではありません。定期的な脆弱性評価の実施は、組織の情報資産とシステムにおけるセキュリティの弱点とギャップを特定し、優先順位を付けるのに役立つ技術的なアクティビティです。ただし、結果が利害関係者に伝達され、正当化されない限り、セキュリティ管理の実装に対する組織的なサポートは必ずしも得られません。ビジネス影響分析 (BIA) の結果の伝達は、組織の重要なビジネス プロセスと機能に対する中断やインシデントの潜在的な結果を示すのに役立つレポート アクティビティです。ただし、結果が組織のリスク選好度とリスク許容度にリンクされていない限り、セキュリティ管理の実装に対する組織的なサポートは必ずしも得られません。組織のリスク管理フレームワークを定義することは、情報セキュリティ リスクを一貫性と効率性をもって管理するためのポリシー、手順、役割、責任を確立するのに役立つ戦略的なアクティビティです。ただし、フレームワークが利害関係者によって承認され、施行されていない限り、セキュリティ管理の実装に対する組織的なサポートは必ずしも得られません。