セクション: 情報セキュリティプログラム管理
Explanation:
セキュリティインシデントへの期待される対応に影響を与えるトレーニングを通じて、従業員にセキュリティ意識の高い行動を促すことが最も重要です。ポリシーが読み上げられ理解されていることを確認すること、懲戒処分の可能性について従業員に適切な警告を与えること、法令遵守の要件を満たすことは重要ですが、これらは二次的なものです。

説明
CISM レビューマニュアルによると、組織の環境の変化によりセキュリティ管理が適切ではなくなった可能性がある場合、情報セキュリティ管理者の最善の行動は、新たなリスク評価を実施することです。リスク評価とは、組織の情報資産とビジネスプロセスに影響を与えるリスクを特定、分析、評価するプロセスです。リスク評価は、定期的に、または新たな脅威、脆弱性、テクノロジー、規制、ビジネス目標など、組織の環境に大きな変化があったときに実施する必要があります。リスク評価は、現在のリスク露出レベルと既存のセキュリティ管理の適切性を判断するのに役立ちます。また、リスク評価は、新規または強化されたセキュリティ管理の実装、リスクの第三者への移転、リスクの受け入れ、リスクの回避など、適切なリスク対応を定義するリスク対応計画の策定または更新の基礎となります。
このシナリオでは、他の選択肢は最善の行動ではありません。以前のリスク評価と対策の見直しは、組織の環境の現状を反映していない可能性があり、新たなリスクや新たに出現するリスクを特定できない可能性があります。新たなリスクを特定し、優先順位付けするための新たなリスク評価を実施しなければ、新たなリスクを軽減するための対策を評価するのは時期尚早です。新たなリスクを第三者に移管するには、リスクレベルと利用可能なリスク移転オプションを評価するための新たなリスク評価を実施しなければ、実現不可能または費用対効果が低い可能性があります。
参考文献 = CISM レビューマニュアル、第 16 版、第 2 章、セクション 1、43 ～ 45 ページ。

セクション: インシデント管理と対応

情報セキュリティ対策は、主にビジネスリスクシナリオに基づいて設計する必要があります。これは、組織の情報資産と事業目標に影響を及ぼす可能性のある、最も重要かつ重大な脅威と脆弱性を特定し、優先順位を付けるのに役立つためです。ビジネスリスクシナリオとは、セキュリティ侵害の考えられる発生源、事象、結果、および発生の可能性と影響を記述した仮想的な状況です。ビジネスリスクシナリオは、以下のことに役立ちます。
情報セキュリティ管理策をビジネス ニーズおよび要件と整合させ、組織の戦略目標、使命、およびビジョンの達成をサポートするようにします。既存の情報セキュリティ管理策の有効性と効率を評価し、対処または改善が必要なギャップと弱点を特定します。リスクを防止、検出、または軽減し、情報資産に対して最適なレベルの保護とパフォーマンスを提供できる適切な情報セキュリティ管理策を選択して実装します。情報セキュリティ管理策の投資収益率と価値提案を評価および測定し、利害関係者と経営陣に管理策の根拠と利点を伝えて正当化します。情報セキュリティ管理策は、ビジネス影響分析 (BIA)、規制要件、または脆弱性評価を主な基準として設計すべきではありません。これらは管理策の設計に影響を与える二次的または補完的な要因であり、設計の主要な基盤または基準を提供するものではないためです。BIA は、中断または災害が重要なビジネス機能とプロセスに与える潜在的な影響を、財務、運用、および評判の側面から推定および比較する方法です。 BIA は、情報資産の復旧目標と優先順位を決定するのに役立ちますが、混乱や災害を引き起こす可能性のある特定のリスクと脅威を特定したり対処したりすることはできません。規制要件とは、情報セキュリティに関して組織が遵守しなければならない法律、契約、または業界の標準と義務です。規制要件は、組織が実装しなければならない情報セキュリティ制御の最小またはベースライン レベルを確立するのに役立ちますが、組織の具体的または固有のニーズと課題を反映するものではありません。脆弱性評価は、情報システムと資産を悪用または侵害する可能性のある弱点と欠陥を特定して分析する手法です。脆弱性評価は、既存または潜在的なセキュリティ問題を発見して修復するのに役立ちますが、ビジネス コンテキストや問題の影響は考慮されません。
参考資料 = CISM レビューマニュアル、第 16 版、ISACA、2021 年、119 ～ 120、122 ～ 123、125 ～ 126、129 ～ 130 ページ。