説明
この回答は、組織がベンダーに対して明確で一貫性のあるセキュリティ要件と期待を確立して実施していること、およびベンダーがセキュリティのベスト プラクティスへの準拠と取り組みを実証していることを示しているため、ベンダー リスク管理プロセスの有効性を最もよく示しています。
ISO 27001、NIST CSF、COBIT などの世界的に認められたセキュリティ標準は、ベンダーのセキュリティ体制とパフォーマンスを評価および改善するための包括的かつ客観的なフレームワークを提供します。
参考資料：CISMレビューマニュアル2023では、「情報セキュリティマネージャーは、サードパーティの製品およびサービスに対するセキュリティ要件と期待が定義、伝達、および実施されていることを保証する責任を負う」と述べられており、「情報セキュリティマネージャーは、サードパーティが適切なセキュリティ管理とプラクティスを実施し、適用される標準および規制に準拠していることを確認する必要がある」（138ページ）とされています。CISMレビュー問題、解答、解説マニュアル2023では、この回答の根拠として、「世界的に認められたセキュリティ標準の認証を受けたベンダーの割合の増加は、ベンダーリスク管理プロセスの有効性を最もよく示すものであり、組織がベンダーに対して明確かつ一貫したセキュリティ要件と期待を確立し、適用していること、そしてベンダーがセキュリティのベストプラクティスへの準拠とコミットメントを実証していることを示すため、正解です」（63ページ）とされています。さらに、ISACA Journal 2015の記事「ベンダーリスク管理の解明」では、「世界的に認められたセキュリティ標準は、ベンダーのセキュリティ態勢とパフォーマンスを評価および改善するための共通言語とフレームワークを提供する」と述べられており、「世界的に認められたセキュリティ標準に対するベンダー認定は、セキュリティ侵害のリスクを軽減し、顧客と利害関係者の信頼と自信を高め、ベンダーの評判と競争力を高めるのに役立つ可能性がある」と述べられています（3ページ）。