セクション: 情報セキュリティプログラム管理
Explanation:
システムプログラマーにはアクセス制御リスト（ACL）を変更する権限を与えるべきではありません。そうしないと、プログラマーがシステムを無制限に制御する権限を与えられてしまうからです。データ所有者はACLの更新を要求し承認しますが、データ所有者がACLの更新権限を持っている場合、職務分離の原則に違反することはありません。データ管理者とセキュリティ管理者は、データ所有者から委任された職務の一部であるため、ACLの更新を行うことができます。

増加するサイバー攻撃によるリスクを組織が軽減するための最善の対応策は、リスクを再検証し、許容可能なレベルまで軽減することです。これは、組織が現在のリスクプロファイルを見直し、新たな脅威、脆弱性、または影響を特定し、既存の管理策と対策の有効性を評価することを意味します。この分析に基づき、組織はリスクの回避、移転、受容、または軽減といった適切なリスク対応戦略​​を実施し、望ましいリスク選好度とリスク許容度を達成する必要があります。また、組織はリスク状況と実施済みの管理策を定期的に監視・レビューし、それに応じてリスク管理計画を更新する必要があります。このアプローチは、ITリスク管理をビジネス目標とビジネス価値と整合させる方法に関するガイダンスを提供するISACAリスクITフレームワーク12と一致しています。
その他の選択肢は、対象範囲が狭すぎるか、事後対応的すぎるため、最善の対応とは言えません。インシデント対応チームの予算と人員を増員すれば、組織のサイバー攻撃への対応力と復旧能力は向上するかもしれませんが、攻撃の根本原因や予防には対処できません。
侵入検知システム（IDS）の導入は、組織の検知・分析能力を高める可能性がありますが、攻撃に対する防御や軽減を保証するものではありません。事業継続計画（BCP）のテストは、サイバー攻撃発生時に重要な業務を継続するための組織の準備状況と回復力を検証できる可能性がありますが、攻撃の発生確率や影響を軽減するものではありません。参考文献：リスクITフレームワーク1 CISMレビューマニュアル、第16版｜印刷｜英語2、第3章：情報リスク管理、97ページ～
98、103-104、107-108、111-112。

資産の価値を決定する主な基準は、資産が利用できない場合のビジネス コストである必要があります。これは、資産の価値は、取得または交換コストだけでなく、組織のビジネス目標とプロセスへの貢献によっても決まるためです。資産が利用できない場合のビジネス コストは、資産の紛失または侵害が組織の業務、パフォーマンス、評判、コンプライアンスに及ぼす潜在的な影響を反映しています。資産が利用できない場合のビジネス コストは、資産の重要性、依存関係、および回復要件を特定するビジネス インパクト分析 (BIA) を実施することで見積もることができます。資産が利用できない場合のビジネス コストを資産価値を決定する主な基準として使用することで、組織は資産の重要性とリスク レベルに応じて資産の保護と管理の優先順位付けを行うことができます。参照 = CISM レビュー マニュアル第 15 版、64 ページ、65 ページ。