セクション: インシデント管理と対応
説明/参照:

説明
リスク分析は、セキュリティプログラム導入における最初のステップです。組織の資産、プロセス、または目標に影響を及ぼす可能性のある潜在的な脅威と脆弱性を特定し、優先順位を付け、それらの影響と発生可能性を判断するのに役立つためです。データ暗号化の導入は最初のステップではなく、むしろ後続のステップとして、特定のセキュリティ制御または技術を適用して、不正アクセスや改ざんからデータを保護します。情報資産インベントリの作成は最初のステップではなく、むしろ後続のステップとして、組織の資産をその価値と機密性に基づいて識別および分類します。情報資産の価値の判定は最初のステップではなく、むしろ後続のステップとして、組織にとっての情報資産の価値を推定および定量化します。参考文献：
https://www.isaca.org/resources/isaca-journal/issues/2015/volume-6/measuring-the-value-of-information-securit
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-3/how-to-measure-the-effectiveness-of-your-i

組織の重要なサードパーティプロバイダーでデータ侵害が発生した場合、情報セキュリティマネージャーが最初に行うべき行動は、このようなシナリオを想定して策定されたインシデント対応計画を発動することです。インシデント対応計画では、サードパーティのデータ侵害に対処するための役割と責任、連絡チャネル、エスカレーション手順、復旧措置を定義する必要があります。インシデント対応計画を発動することで、影響の抑制、被害の評価、対応の調整、そして可能な限り早期の通常業務への復旧が可能になります。
参考文献 = CISMレビューマニュアル、第16版、290ページ

説明
意識啓発トレーニングを実施すれば、車間距離を詰めようとする試みは、権限のある従業員によって阻止される可能性が高くなります。選択肢A、B、Dは物理的な対策であり、それだけでは車間距離詰めの防止には効果がありません。

説明
システムのユーザーが文書化されたセキュリティポリシーの枠組みと意図を理解することは、セキュリティポリシーの導入と維持を成功させる上で不可欠です。優れたパスワードシステムが存在しても、システムのユーザーがパスワードを机の上に書き留めておけば、そのパスワードの価値は薄れてしまいます。経営陣のサポートとコミットメントは確かに重要ですが、セキュリティポリシーの導入と維持を成功させるには、ユーザーへのセキュリティの重要性の教育が何よりも重要です。セキュリティ担当者によるアクセス制御ソフトウェアを通じたルールの厳格な導入、監視、適用、そしてセキュリティルール違反に対する懲罰措置の規定も、ユーザーへのセキュリティの重要性の教育と併せて不可欠です。