セキュリティ投資の成功を測る最も重要な指標は、期待されるリスク低減（D）が実現されるかどうかです。CISMは、セキュリティ投資の正当性は、コンプライアンスや財務的リターンのみではなく、リスクを許容範囲内にまで低減する能力によって主に判断されることを強調しています。内部要件（A）と標準規格への準拠（B）は重要ですが、リスク低減を保証するものではありません。セキュリティにおいては、財務的メリット（C）は間接的なものであることが多いです。導入後のレビューでは、当初のリスク想定が正しかったかどうか、そして残存リスクが経営陣の期待と一致しているかどうかを検証する必要があります。
参考資料: ISACA CISM レビュー マニュアル (プログラム管理 - 投資評価、リスクベースのパフォーマンス測定)、CISM 試験内容概要 (ドメイン 3)。

ランサムウェア関連リスク軽減策の成果を報告する際に、経営幹部に提示すべき最も重要な情報は、コストとそれに伴うリスクの軽減です。これは、ランサムウェアインシデントやデータ窃盗の発生確率と影響を軽減する上で、技術的および管理的対策の価値と有効性を示し、それらを導入・維持するために必要な投資とリソースと比較することを意味します。コストとそれに伴うリスクの軽減は、経営幹部が投資収益率（ROI）を評価し、取り組みのビジネス目標やリスク許容度との整合性を評価するのに役立ちます。
参考資料 = ランサムウェアリスク管理 - NIST、#StopRansomware ガイド | CISA

説明/参照:
Explanation:
資産の分類は、事業運営に対するリスクの観点から資産の感度を決定するために行う必要があります。これにより、適切な対策を効果的に実施することができます。機密資産を保護するためにコストが高くなることは許容され、管理コストを最小限に抑えることは常に合理的ですが、最も重要なのは、管理と対策がリスクに見合っていることです。そうすることでコストが正当化されるからです。選択肢Bは重要ですが、リスクを考慮していないため、不完全な回答です。したがって、選択肢Dが最も重要です。

説明
これらすべての手順はリスク管理の実施に不可欠です。しかし、新たなリスクを特定しなければ、他の手順は限られた期間しか役に立ちません。

脅威分析は、組織の資産、業務、または評判に影響を及ぼす可能性のある潜在的な有害事象の発生源と発生確率を特定し評価するため、組織の情報セキュリティに対する外的影響を最も効果的に特定します。外的影響には、新興技術、ソーシャルメディア、ビジネス環境、リスク許容度、規制要件、サードパーティの考慮事項、脅威ランドスケープ1などの要因が含まれます。脅威分析は、組織が情報セキュリティ戦略をビジネス目標とリスクアペタイトと整合させ、最も関連性が高く影響の大きい脅威を優先順位付けして軽減するのに役立ちます。ビジネス影響分析（BIA）は、組織の重要なビジネス機能またはプロセスが中断された場合の潜在的な結果を評価するプロセスです。BIAは、組織の情報セキュリティに対する外的影響を直接特定するのではなく、それらの影響が組織の継続性と復旧に与える影響を特定します。ギャップ分析は、ベストプラクティス、標準、またはフレームワークに基づいて、組織の情報セキュリティの現状と望ましい状態または期待される状態を比較するプロセスです。ギャップ分析は、組織の情報セキュリティに対する外的影響を直接特定するのではなく、改善またはコンプライアンスが必要な領域を特定します。脆弱性分析は、組織の情報システムまたはプロセスにおいて、脅威に悪用される可能性のある弱点や欠陥を特定し、評価するプロセスです。脆弱性分析は、組織の情報セキュリティに対する外的影響を直接特定するのではなく、組織がそれらの影響にさらされる可能性、つまり脆弱性の影響を受けやすいかどうかを判断します。参考文献 = CISMレビューマニュアル、第15版、22～232ページ、CISM試験内容概要、ドメイン1、知識ステートメント1.113 脅威分析は、組織の情報セキュリティに潜在的に影響を及ぼす可能性のある外的影響または脅威を特定し、評価するプロセスです。これは、潜在的なリスクを特定し、それらのリスクを軽減または削減するための戦略を策定するために使用されます。脅威分析には、環境の分析、潜在的な脅威とその潜在的な影響の特定、そして組織の現在のセキュリティ対策の評価と、欠陥に対処するための戦略の策定が含まれます。