セキュリティをサポートする文化は、情報資産を保護する行動を奨励します。
「組織文化は、従業員がセキュリティに取り組む方法に大きな影響を与え、従業員の行動やポリシーの遵守に影響を及ぼします。」
- CISMレビューマニュアル第15版、第3章：情報セキュリティプログラムの開発と管理、セクション：セキュリティ文化*

説明
包括的かつ詳細な説明：従業員のアカウンタビリティとは、情報セキュリティに関連する行動と結果に対して従業員がどの程度責任を負うかを示すものです。これは、従業員が自らの役割と責任を理解し、ポリシーと手順に従い、インシデントや違反を報告し、法令遵守義務を遵守している程度を反映しています。職務記述書にセキュリティ責任を明記することで、従業員への期待と義務、そして違反や過失が発生した場合の対応を明確にすることができます。また、セキュリティ目標をビジネス目標や戦略と整合させ、セキュリティ意識と責任感を育む文化を醸成することにも役立ちます。
参考文献：1：CISMレビューマニュアル、第15版、第3章、セクション3.2.1.2

セクション: インシデント管理と対応
Explanation:
情報セキュリティの目標は常にビジネス目標と結びついている必要があるため、ビジネスプロセスは可能な限り継続することが不可欠です。これらのプロセスを中断するのは、他に選択肢がない場合に限ります。セキュリティチームが攻撃の特性を評価できるようにすることは重要ですが、これはビジネスニーズに従属するものです。インシデントの継続を許容すると、組織はさらなる損害にさらされる可能性があります。インシデント管理プロセスの欠陥を評価することは重要ですが、これもビジネスプロセスの継続に従属するものです。

情報セキュリティ運営委員会を設置することは、情報セキュリティガバナンスを企業ガバナンスに統合するための最良の方法です。情報セキュリティ運営委員会は、情報セキュリティプログラムの戦略的方向性、監督、およびサポートを提供する、上級管理職からなる部門横断的なグループです。委員会は、情報セキュリティ戦略が企業戦略、目標、およびリスクアペタイトと整合していることを保証します。また、委員会は様々なステークホルダー間の連携とコミュニケーションを促進し、セキュリティ意識と説明責任の文化を促進します。情報セキュリティポリシーの策定、情報セキュリティガバナンスフレームワークの文書化、情報セキュリティ意識向上プログラムの実施は、情報セキュリティガバナンスの実装と維持にとって重要な活動ですが、必ずしも企業ガバナンスへの統合を促進するものではありません。これらの活動は情報セキュリティ運営委員会によって開始または承認される場合がありますが、情報セキュリティガバナンスが企業ガバナンスの構造とプロセスに組み込まれていることを保証するには不十分です。参考文献：CISMレビューマニュアル2023、34ページ1、CISM練習クイズ2

説明
セキュリティインシデントに関する証拠を収集する際には、適切なフォレンジック手順に従い、現地の管轄区域で承認された方法で電子証拠を取り扱うことが非常に重要です。その他のあらゆる手段は、インシデントに関するデータを収集または保存する際に役立ちますが、現地の管轄区域で承認された方法で収集されていない場合、これらのデータは法廷で証拠として認められない可能性があります。