説明
組織のセキュリティ要件を満たさない新しいサードパーティ製クラウドアプリケーションに関連するリスクに対処するために、情報セキュリティマネージャーが最初に行うべき行動は、ビジネスオーナーへの相談です。これは、アプリケーションの利用に関するビジネスニーズと期待を理解し、セキュリティリスクとその影響について伝えるのに役立つためです。情報セキュリティマネージャーとビジネスオーナーは協力して、アプリケーションのメリットとリスクのトレードオフを評価し、要件の変更、代替ソリューションの検討、リスクの受け入れなど、最善の対応策を決定する必要があります。
参考文献
CISMレビューマニュアル、第16版、ISACA、2020年、41ページ：「情報セキュリティマネージャーは、ビジネスオーナーと協議し、サードパーティサービスの利用に関するニーズと期待を理解し、セキュリティリスクとその影響について伝える必要があります。」CISMレビューマニュアル、第16版、ISACA、2020年、42ページ：「情報セキュリティマネージャーとビジネスオーナーは協力して、サードパーティサービスの利用によるメリットとリスクのトレードオフを評価し、要件の変更、代替ソリューションの検討、リスクの受け入れなど、最善の対応策を決定する必要があります。」クラウドにおけるリスク管理のベストプラクティス - ISACA：「情報セキュリティマネージャーは、ビジネスオーナーと協力して、データ保護、アクセス制御、インシデント対応、コンプライアンスなど、クラウドサービスのセキュリティ要件を定義する必要があります。」

説明/参照:
Explanation:
メールリレーは通常、内部ネットワークを保護するために非武装地帯（DMZ）内に設置する必要があります。認証サーバーは機密性が高いため、常に内部ネットワーク上に設置し、侵入の恐れがあるDMZ上には設置しないでください。ルーターとファイアウォールはDMZと別のネットワークをブリッジすることはできますが、技術的にはDMZネットワークセグメント内には設置されません。

情報セキュリティプログラムの指標は、セキュリティ目標および戦略と整合し、リスクの軽減、セキュリティ体制の強化、そしてビジネス目標の達成という観点から、プログラムがどの程度成果を上げているかを示すものでなければなりません。主要な情報セキュリティイニシアチブを支援したり、企業のリスク文化を反映したり、情報セキュリティプログラムの支出を削減したりする指標は有用かもしれませんが、プログラム全体の指標を確立するための最適なアプローチではありません。
参照 = CISMレビューマニュアル2022、3171ページ; CISM試験内容概要、ドメイン4、知識ステートメント4.112

説明
多様な法律や規制の影響を受けるグローバル組織のセキュリティポリシー策定は、一貫性、コンプライアンス、柔軟性のバランスを取る必要があるため、困難な作業です。最善のアプローチは、組織全体のセキュリティ目標、原則、要件を反映したベースライン標準をすべての拠点に確立することです。これらの標準は、組織の使命、ビジョン、価値観、戦略、そして各拠点の適用法や規制と整合している必要があります。また、ベースライン標準は、その妥当性と有効性を確保するために定期的に見直し、更新する必要があります。
さらに、異なる場所や状況で発生する可能性のある特定の問題やリスクに対処するために、必要に応じて補足基準を追加することができます。補足基準は、ベースライン基準から得られたベストプラクティスと教訓、そして各地域の利害関係者からのフィードバックと意見に基づく必要があります。参考文献：CISMレビューマニュアル、第16版、1001ページ