情報セキュリティガバナンス（ISG）とは、情報セキュリティ戦略がビジネス目標と整合し、ビジネス目標をサポートしていること、ポリシーと内部統制の遵守を通じて適用法令に準拠していること、そして責任の所在を明確にしていることを保証するフレームワークを構築・維持するプロセスであり、リスク管理を目的としています1。効果的なISGは、情報セキュリティがコーポレートガバナンスに統合され、企業ガバナンスの不可欠な要素とみなされることを保証します2。情報セキュリティは、情報セキュリティチームだけでなく、組織内のすべてのステークホルダーの責任です3。情報セキュリティ管理策は、リスクオーナーではなく、管理策の導入と維持に責任を負う管理オーナーに割り当てられます4。情報セキュリティガバナンスは、外部のセキュリティフレームワークではなく、組織独自の目標、リスクアペタイト、コンプライアンス要件に基づいています。参考文献 = 1: CISMレビューマニュアル（デジタル版）、3ページ 2:
CISMレビューマニュアル（デジタル版）、4ページ 3：CISMレビューマニュアル（デジタル版）、5ページ 4：CISMレビューマニュアル（デジタル版）、14ページ ：CISMレビューマニュアル（デジタル版）、16ページ

開発プロセス内にセキュリティ活動を統合することは、アプリケーション セキュリティ制御の実装コストを削減する最善のオプションです。これは、設計から展開までのソフトウェア開発ライフサイクル (SDLC) 全体にわたってセキュリティが考慮され、対処されることが保証され、後でコストのかかる修正やパッチが必要になる可能性のあるセキュリティ上の欠陥や脆弱性の発生確率と影響が軽減されるためです。開発環境でセキュリティ テストを実行することは、さまざまな環境やシナリオで発生する可能性のあるすべてのセキュリティ問題を検出または防止できない可能性があるため、最善のオプションではありません。プロジェクト完了後にリスク分析を実行することは、プロジェクト中にもたらされた可能性のあるセキュリティ リスクを特定または軽減するには遅すぎる可能性があるため、適切なオプションではありません。標準のアプリケーション セキュリティ要件を含めることは、さまざまなアプリケーションまたはプロジェクトの特定または固有のセキュリティ ニーズや課題を考慮していない可能性があるため、適切なオプションではありません。参考：https://www.isaca.org/resources/isaca-journal/issues/2017/volume-2/secure-software-development-lifecycle https://www.isaca.org/resources/isaca-journal/issues/2016/volume-4/technical-security-standards-for-information-systems

ビジネスの目標と手法が変化すると、脅威の性質と重要性も変化します。選択肢Bだけでは、定期的な再評価を正当化することはできません。選択肢Cは必ずしもすべてのケースに当てはまるわけではありません。選択肢Dは誤りです。リスク評価を実施するよりも、セキュリティ意識を高めるためのより優れた方法があるからです。