アクセス制御リストの見直しは、情報セキュリティ管理者が許可された人物が企業ポリシーに従って入室していることを確認できる発見的制御です。警備員を同伴した訪問者も安全対策となりますが、費用対効果は低い可能性があります。次に費用対効果の高い制御は、訪問者登録簿です。生体認証とPINを組み合わせることでアクセス制御は強化されますが、コンプライアンス保証ログの確認は依然として必要です。

説明/参照:
Explanation:
セキュリティ プログラムの成功は、組織の目標と目的との整合性に左右されます。
コミュニケーションは二次的なステップです。ユーザーへの効果的なコミュニケーションと教育は成功の決定的な要因ですが、組織の目標と目的との整合性が最も重要な要素です。ユーザーへの効果的なコミュニケーションなしにポリシーを策定するだけでは、成功は保証されません。
情報セキュリティ ポリシーと手順の遵守を監視することは、せいぜい、情報を持たないユーザーの間では成功につながらない検出メカニズムになる可能性があります。

最善の最初のステップは、ポリシーに照らして事業部門の機能をレビューし、違反が発生している理由を特定することです。例えば、ビジネスプロセスとの不整合、要件の不明確さ、実行不可能なコントロール、コミュニケーション不足、有効な手順／標準の欠如などです。CISMガバナンスにおいては、ポリシーはビジネスに適合し、実装可能で、標準とプロセスによってサポートされている必要があります。後になってすぐに制裁措置（D）や不遵守の報告（B）が必要になる場合もありますが、これらは根本原因の特定と、期待が適切に伝達され、理解され、達成可能であることを確認した上で実施すべき強制措置です。ポリシーを「適応させる」ために改訂する（A）ことは、分析によってポリシーが正当なビジネスニーズやリスクアペタイトと真に矛盾していることが示されない限り、一般的にガバナンスが弱いと言えます。セキュリティマネージャーは、事業部門の運用実態とポリシーの意図を比較することで、コントロールのギャップ、トレーニングの必要性、プロセスの例外、または必要な代替コントロールを特定し、意図的な不遵守が続く場合は適切にエスカレーションすることができます。
参考資料: ISACA CISM レビュー マニュアル (情報セキュリティ ガバナンス - ポリシー フレームワーク、ビジネス目標との整合性、施行アプローチ); CISM 試験内容概要 (ドメイン 2)。