セクション: 情報セキュリティガバナンス
Explanation:
経営目標とセキュリティ手順を整合させるには、セキュリティポリシーを改訂する必要があります。経営目標はポリシーに、ポリシーは手順に反映されます。セキュリティ手順には、コンピュータインシデント対応・管理グループなどの専門チームに加え、セキュリティアーキテクチャを構成するセキュリティメカニズムなどの専門ツールも必要です。セキュリティ意識の向上は、ポリシー、手順、そしてセキュリティメカニズムの適切な活用を促進します。

脆弱性分析を実行することは、新しいアプリケーションが情報セキュリティ ポリシーに準拠していることを確認するための最善のオプションです。これは、潜在的な脅威や攻撃にさらされる可能性のあるアプリケーションのセキュリティ上の欠陥や弱点を特定して評価し、それらを軽減するための推奨事項やソリューションを提供するのに役立つためです。実装前にアプリケーションのセキュリティを確認することは、実装または展開後に発生する可能性のあるすべてのセキュリティ上の問題を検出または防止できない可能性があるため、適切なオプションではありません。開発段階でセキュリティ機能を統合することは、アプリケーションまたはその環境のすべてのセキュリティ要件または課題を考慮していない可能性があるため、適切なオプションではありません。アプリケーションのセキュリティを定期的に監査することは、監査間または展開後に発生する可能性のあるセキュリティ上の問題に対処できない可能性があるため、適切なオプションではありません。参考：https://www.isaca.org/resources/isaca-journal/issues/2017/volume-2/secure-software-development-lifecycle https://www.isaca.org/resources/isaca-journal/issues/2016/volume-4/integrating-assurance-functions

説明/参照:
Explanation:
残留リスクとは、効果的なリスク管理プログラムを導入した後に残るリスクです。したがって、このリスクを最小限に抑えることで、許容可能なリスクが達成されます。移転リスクとは、第三者が引き受けたリスクであり、必ずしも最小限の残留リスクと同等とは限りません。統制リスクとは、統制の有効性を示す指標を用いても、インシデントを防止／検知できないリスクです。固有リスクは最小限に抑えることはできません。

セクション: 情報リスク管理
Explanation:
復旧時間目標（RTO）とは、中断の時点から、プロセスが財務および運用への影響を許容レベルに抑えるのに十分なサービスレベルで機能するまでの時間です。最大許容停止時間（MTO）とは、組織が縮小モードで運用できる最大時間です。復旧ポイント目標（RPO）は、復旧に必要なデータの保存期間に関連します。サービス提供目標（SDO）とは、縮小モードで必要なサービスレベルです。

セクション: 情報セキュリティプログラム開発