情報セキュリティマネージャーの最善の行動は、リスクを上級管理職に提示することです。これは、情報セキュリティチームと経営幹部の間で目標と優先順位が相反するケースだからです。情報セキュリティマネージャーは、アクセスポリシー違反によるセキュリティ侵害の潜在的な影響と発生確率、そして法的、規制的、そして評判に及ぼす可能性のある影響について説明する必要があります。また、シングルサインオン、ロールベースのアクセス制御、多要素認証の導入など、運用効率とセキュリティコンプライアンスの両方を実現できる代替ソリューションも提示する必要があります。情報セキュリティマネージャーは、上級管理職の承認なしにポリシーを適用してはなりません。運用上の混乱やビジネス上の不満を招く可能性があるためです。情報セキュリティマネージャーは、適切なリスク評価と承認プロセスなしにポリシーを変更してはなりません。セキュリティ体制が弱体化し、組織がより多くの脅威にさらされる可能性があるためです。情報セキュリティマネージャーは、正式なリスク受容および文書化プロセスなしに逸脱の例外を作成してはなりません。ポリシーの適用と説明責任に矛盾と曖昧さが生じる可能性があるためです。参考資料 = CISM レビューマニュアル、第 16 版、ISACA、2021 年、127 ～ 128 ページ、138 ～ 139 ページ、143 ～ 144 ページ。

セクション: 情報セキュリティガバナンス

説明
機密性は、情報の不正な開示から保護することを最も確実にするセキュリティ目標です。機密性とは、機密情報や機密扱いの情報にアクセスできるのは、許可された当事者のみであることを意味します。完全性とは、情報が正確かつ一貫しており、許可されていない当事者によって改ざんまたは変更されていないことを意味します。真正性とは、情報が真正かつ信頼できるものであり、許可されていない当事者によって偽造または虚偽の表示が行われていないことを意味します。否認防止性とは、情報が特定の当事者によって送信または受信されたことが検証され、証明され、否認の可能性がないことを意味します。参考資料：
https://www.csoonline.com/article/3513899/the-cia-triad-definition-components-and-examples.html