主要業績評価指標（KPI）は、情報セキュリティ目標の達成度と情報セキュリティ戦略とビジネス目標の整合性を反映する定量化・測定可能な指標であるため、情報セキュリティガバナンスの有効性を監視するための最適なツールです。KPIは、情報セキュリティプロセスと活動のパフォーマンス、効率性、品質、価値を評価し、改善または調整が必要な領域を特定するのに役立ちます。また、KPIは、経営陣と利害関係者に情報セキュリティガバナンスの進捗状況に関するフィードバックを提供することもできます。情報セキュリティガバナンスのKPIの例としては、セキュリティポリシーおよび標準への準拠率、セキュリティインシデントの数と重大度、セキュリティ投資収益率、情報セキュリティ能力の成熟度などが挙げられます12。
バランスト・スコアカードは、組織のビジョンとミッションを財務、顧客、内部プロセス、学習と成長という4つの視点に落とし込む戦略的経営ツールです。バランスト・スコアカードは、情報セキュリティ戦略と事業戦略の整合性を図るのに役立ちますが、情報セキュリティ・ガバナンスの有効性を監視するツールではありません。バランスト・スコアカードは、測定システムの一部としてKPI（重要業績評価指標）を組み込むことができますが、KPI13に代わるものではありません。
ビジネス影響分析（BIA）は、組織の重要なビジネス機能またはプロセスへの混乱がもたらす潜在的な影響を評価するプロセスです。BIAは、情報セキュリティプログラムの重要な資産、依存関係、復旧の優先順位、復旧目標を特定するのに役立ちますが、情報セキュリティガバナンスの有効性を監視するためのツールではありません。BIAは、1回限りまたは定期的に実施される活動であり、継続的な監視プロセスではありません14。
リスクプロファイルとは、運用リスク、財務リスク、戦略リスク、風評リスクなど、組織が様々な種類のリスクにさらされている状況を示すものです。リスクプロファイルは、組織の資産や目標に対する潜在的な脅威の発生源、発生確率、影響を特定し、情報セキュリティプログラムのリスク選好度とリスク許容度を決定するのに役立ちますが、情報セキュリティガバナンスの有効性を監視するツールではありません。リスクプロファイルは、特定の時点における組織のリスク状況のスナップショットであり、動的な監視ツールではありません15。参考資料：CISMレビューマニュアル（第16版）、23～241ページ；CISM試験内容概要、ドメイン1、知識ステートメント1.122；CISMレビュー問題、解答、解説データベース、質問ID 10093；CISMレビュー問題、解答、解説データベース、質問ID 10104；CISMレビュー問題、解答、解説データベース、質問ID 10115

セクション: 情報セキュリティプログラム管理

セクション: 情報リスク管理
Explanation:
制御目標はビジネス目標に直接関連しているため、最適な指標となります。
実装された制御の数は、セキュリティ プログラムの結果と直接関係がありません。
セキュリティ ポリシーの遵守率とセキュリティ インシデント数の削減は、選択肢 B ほど広範囲ではありません。

セクション: インシデント管理と対応
説明
説明/参照: