説明
エンドユーザーは、業務中断時に保護・復旧が必要なビジネスプロセスおよび機能の主要な利害関係者です。エンドユーザーは、継続性計画に影響を与える具体的なビジネスニーズ、要件、依存関係について、最も深い知識と経験を有しています。計画プロセスにエンドユーザーを関与させることで、継続性計画がビジネス目標と期待に沿ったものとなり、重要な活動とリソースが適切に優先順位付けされ、保護されるようになります。エンドユーザーは、計画とその実施を改善するための貴重なフィードバックや提案も提供できます。参考文献：CISMレビューマニュアル第15版、2291ページ；CISM練習クイズ、問題1182

セクション: 情報セキュリティプログラム管理
Explanation:
セキュリティ投資収益率（ROI）を判断する一つの方法は、情報セキュリティがビジネス目標の達成にどのように貢献しているかを示すことです。セキュリティ指標は、セキュリティ対策の改善と有効性を測定するものですが、ビジネス目標とは結びついていません。同様に、成果物をリストアップし、プロセス改善モデルを作成することも、必ずしもビジネス目標と結びつくわけではありません。

セクション: 情報リスク管理
Explanation:
これらはすべて重要ですが、アクション項目のリストは、現在のリスクレベルを軽減または転送するために使用されます。
その他のオプションは、アクションの実装方法に大きく貢献します。

説明
= 情報分類とは、情報資産の機密性と組織にとっての価値に基づいて、適切なラベルを割り当てるプロセスです。情報分類は、組織のビジネス目標およびリスク許容度と整合させる必要があり、正確性と関連性を確保するために定期的に見直す必要があります。情報セキュリティ マネージャーは、情報分類のポリシーと手順を確立して維持するとともに、データ所有者と管理者にガイダンスと監督を提供する責任があります。データ所有者は、自分の事業単位または機能内の情報資産に対する権限と説明責任を持つ個人です。データ所有者は、自分の情報資産に適切な分類レベルとセキュリティ制御を決定するとともに、情報分類のポリシーと手順に準拠していることを確認する責任があります。データ管理者は、データ所有者から割り当てられた情報資産のセキュリティ制御を実装および維持する運用上の責任を負う個人です。
情報セキュリティ管理者が、情報の分類が不適切で、漏洩リスクが高まっていると判断した場合、最善の策はリスク評価を実施し、その結果をデータ所有者に報告することです。リスク評価とは、情報資産に関連するリスクを特定、分析、評価し、適切なリスク対応策を推奨する体系的なプロセスです。リスク評価を実施することで、情報セキュリティ管理者はデータ所有者に対し、客観的かつ証拠に基づいた情報を提供し、漏洩の潜在的な影響と発生確率、そして追加のセキュリティ対策を導入した場合のコストとメリットを明確に示すことができます。これにより、データ所有者は、情報資産の適切な分類レベルとセキュリティ対策について十分な情報に基づいた意思決定を行い、情報分類ポリシーおよび手順からの逸脱を正当化し、文書化することができます。
その他の選択肢は、情報セキュリティ管理者にとって最善の行動ではありません。内部監査に問題を報告して勧告を求めることは最善の行動ではありません。なぜなら、内部監査はガバナンス、リスク管理、および統制プロセスの有効性を保証する独立した客観的な保証機能だからです。内部監査は、経営責任である情報分類に関する勧告を提供する責任はありません。ビジネスリスクに対応するためにデータを再分類し、セキュリティレベルを高めることは最善の行動ではありません。なぜなら、情報セキュリティ管理者は情報資産に対する権限や説明責任を持たず、データ所有者のビジネスコンテキストや目標を十分に理解していない可能性があるからです。関係するシステム所有者にデータの再分類を指示することも最善の行動ではありません。なぜなら、システム所有者はデータ所有者と同じではなく、情報資産に対する権限や説明責任も持たない可能性があるからです。システム所有者は、情報資産を処理、保存、または伝送する情報システムに対する権限と説明責任を持つ個人です。システム所有者は、情報システムがデータ所有者と情報セキュリティ管理者によって定義されたセキュリティ要件と管理策に準拠していることを保証する責任を負います。参考文献 = CISMレビューマニュアル、第16版、ISACA、2020年、pp. 49-51、63-64、69-701; CISMオンラインレビューコース、ドメイン3:
情報セキュリティプログラムの開発と管理、モジュール2：情報セキュリティプログラムフレームワーク、ISACA2