説明/参照:
Explanation:
報告されたインシデントは、スタッフのセキュリティ意識レベルを示す指標となります。報告されたインシデントの増加は、スタッフがセキュリティへの注意をより払っていることを示している可能性があります。侵入インシデントやアクセスルール違反は、セキュリティ意識レベルと関係がある場合もあれば、そうでない場合もあります。セキュリティポリシーの変更の減少は、セキュリティ意識向上トレーニングと相関関係がある場合もありますが、そうでない場合もあります。

経営幹部は、リスク軽減のために必要な管理策の導入コストが、リスクが顕在化した場合に組織が被る可能性のある潜在的な財務損失を上回ると判断した場合、リスクに関連する対策を講じない場合があります。このような場合、情報セキュリティチームは、管理策の導入コストとリスクによって予想される損失を比較した、徹底した費用対効果分析を経営幹部に提供することが重要です。

アクセプタブルユースポリシーの主な目的は、データ、ハードウェア、ソフトウェア、ネットワークリソースなどの情報資産の不正使用から組織を保護することです。そのためには、ユーザーによるこれらの資産の許可された適切な使用に関するルールと期待事項を定義します。アクセプタブルユースポリシーは、情報資産の不正使用、不適切な使用、または非倫理的な使用に起因するセキュリティ侵害、法的責任、評判の失墜、生産性の低下などのリスクを防止または軽減するのに役立ちます。
参考文献
CISMレビューマニュアル、第16版、ISACA、2020年、74ページ：「アクセプタブルユースポリシーとは、ユーザーと企業の間で合意を確立するポリシーであり、ネットワークまたはインターネットへのアクセス前に承認される使用範囲をすべての当事者に対して定義します。」アクセプタブルユースポリシーの要点 - Infosec Resources：「アクセプタブルユースポリシー（以下、「AUP」）とは、コンピュータネットワークコミュニティの2つ以上の当事者間で締結される合意であり、特定のハードウェアおよびソフトウェアサービスの適切な使用に関する一定の行動基準を遵守する意図を書面で表明するものです。」アクセプタブルユースポリシーテンプレート - Workable：「このアクセプタブルユースポリシーは、コンピュータ、ネットワーク、デバイス、ソフトウェア、インターネットを含む当社のITリソースの使用に関する最低要件を定めています。これは、当社および従業員を危害や責任から保護し、ITリソースが適切、生産的、かつ安全に使用されることを保証することを目的としています。」