説明
リスクを完全に排除することはできません。リスクを移転することは、例えば保険会社がリスクを負えるように保険をかけるなど、リスクを放棄することを意味します。追加の管理策を講じることは、リスクを軽減する一例です。リスクを軽減するために何もしないことは、リスクを受け入れる一例です。

セキュリティ指標の定義と監視は、セキュリティ管理プロセスのパフォーマンスを分析するための優れたアプローチです。これは、ベースラインを決定し、それに基づいてパフォーマンスを評価することで改善の余地を特定するためです。これは、プロセス改善のための体系的かつ構造化されたアプローチです。監査は、確立された管理策の欠陥を特定しますが、改善のための全体的なパフォーマンスを評価するには効果的ではありません。侵入テストは技術的な脆弱性を発見するだけで、情報セキュリティ管理の全体像を把握することはできません。また、フィードバックは主観的であり、必ずしも真のパフォーマンスを反映するとは限りません。

セクション: 情報セキュリティプログラム管理

組織の情報セキュリティポリシーを策定する際に最も重要な考慮事項は、上級管理職がポリシーを支持することです。上級管理職の支持は、情報セキュリティポリシーの導入と施行を成功させる上で不可欠です。なぜなら、上級管理職の支持は、組織のリーダーシップが情報セキュリティにコミットし、責任を負っていることを示すものだからです。上級管理職の支持は、適切なリソースの割り当て、明確な役割と責任の確立、そして組織内でセキュリティ意識の高い文化の促進にも役立ちます。上級管理職の支持がなければ、情報セキュリティポリシーは組織の目標や目的と整合せず、効果的に伝達・周知されず、一貫して遵守・施行されない可能性があります。
セキュリティポリシーの閲覧を職務記述書に義務付けることは、従業員がセキュリティ上の義務を認識できるようにする手段の一つですが、情報セキュリティポリシーを策定する際に最も重要な考慮事項ではありません。セキュリティポリシーは従業員の役割と機能に関連性があり、適用可能であるべきであり、定期的な研修と意識向上プログラムによって強化されるべきです。
ポリシーは、組織の環境、リスク、要件の変化を反映するために定期的に更新する必要がありますが、毎年更新するだけでは不十分、あるいは必ずしも必要ではない場合があります。ポリシーの更新頻度は、変更の性質と影響に応じて決定する必要があり、定められたポリシーレビュープロセスによって決定する必要があります。
ポリシーは業界のベストプラクティス、標準、フレームワークに準拠する必要がありますが、情報セキュリティポリシーを策定する際には、これが最も重要な考慮事項ではありません。ポリシーは、組織固有の状況、ニーズ、期待に合わせてカスタマイズ・調整する必要があり、組織のビジョン、ミッション、価値観とも整合している必要があります。参考文献：ISACA、『CISMレビューマニュアル』第16版、2020年、37～38ページ。
ISACA、CISM レビューの質問、回答と説明のデータベース、第 12 版、2020 年、質問 ID 1009。