説明/参照:
Explanation:
指標の目的は、継続的な改善を促進し、追跡することです。すべてのセキュリティ上の弱点を特定できるわけではありません。セキュリティ意識を高め、特定の支出の正当化に役立ちますが、それが主な目的ではありません。

セクション: 情報セキュリティプログラム開発
Explanation:
ロールベースのポリシーは、データアクセスを個人が担う役割に関連付けることで、個人のタスク遂行に必要なデータへのアクセスを制限します。多層ポリシーは、機密性と権限に基づきます。裁量的ポリシーでは、アクセス権限の決定は情報リソース管理者に委ねられます。

アプリケーションが侵害されたことを確認した後、インシデント対応チームが次に行うべきことは、影響を受けたシステムをネットワークの他の部分から隔離することです。これは、攻撃の拡大やデータの流出を防ぐために、インターネットやその他のネットワーク接続からシステムを切断することを意味します。影響を受けたシステムを隔離することで、侵害を封じ込め、組織への影響を最小限に抑えることができます。影響を受けたシステムをフォレンジック的に許容可能な状態に維持する、リスクアセスメントを実施する、経営陣に報告するといった他の選択肢は、影響を受けたシステムを隔離した後、インシデント対応プロセスの後半で実施できます。参考：
https://www.crowdstrike.com/cybersecurity-101/incident-response/
https://learn.microsoft.com/en-us/security/operations/incident-response-playbooks
https://www.invicti.com/blog/web-security/incident-response-steps-web-application-security/

組織が新たな規制要件への不遵守リスクを受け入れる可能性が最も高いのは、規制遵守にかかるコストが潜在的な罰金を上回る場合です。このような場合、費用対効果の観点から、組織は、規制遵守のためにコストのかかる管理策やプロセスを導入するよりも、潜在的な罰金や罰則を負担する方が経済的であると判断する可能性があります。
リスク受容は、リスクの軽減または移転にかかるコストが、軽減による利益を上回った場合に発生します。これは、罰則が遵守コストよりも低い場合の規制違反にも当てはまります。
- CISM レビュー マニュアル 第 15 版、第 2 章: リスク管理、セクション: リスク処理オプション* ISACA の練習問題では、コストが潜在的な罰金や影響を上回る場合、リスク受け入れは正当な処理であることが強調されています。