説明/参照:
Explanation:
運営委員会に代表される上級管理職は、組織がどの程度のリスクを負う意思があるかを決定する最終責任を負います。法律顧問、外部監査人、セキュリティ管理者は、そのような決定を下す立場にありません。

アプリケーションやサービスをアウトソーシングする前に、情報セキュリティマネージャーは、組織のリスク許容度、セキュリティポリシーと標準、そして規制要件に基づいて、新しいソリューションに必要なセキュリティ管理策をまず決定する必要があります。これは、最適なプロバイダーを評価・選定するだけでなく、セキュリティの役割と責任、サービスレベル契約（SLA）、そして監査要件を定義する上で役立ちます。参考：https://www.isaca.org/credentialing/cism https://www.wiley.com/en-us/CISM+Certified+Information+Security+Manager+Study+Guide-p-9781119801948

災害復旧計画（DRP）には、災害発生後にデータを復旧できる最も早い時点を示す目標復旧時点（RPO）が必須です。RPOは、業務中断時に許容されるデータ損失量を効果的に定量化します。RPOは、業務中断時に許容されるデータ損失に基づいて決定されます1。DRPは、組織の通常業務に影響を与える災害が発生した場合に、重要なITシステムとデータを復旧するための手順、リソース、およびアクションを定義する文書です2。DRPには、各重要なシステムとデータのRPO、およびRPOを達成するためのバックアップと復旧の方法、頻度、場所を含める必要があります3。
情報セキュリティ計画、インシデント対応計画、事業継続計画 (BCP) では、目的と適用範囲が異なるため、RPO は必要ありません。情報セキュリティ計画は、組織における情報セキュリティ管理の目的、ポリシー、標準、ガイドラインを定義する文書です4。インシデント対応計画は、情報資産の機密性、整合性、または可用性を損なう可能性のあるセキュリティ インシデントを識別、分析、対応、およびそこから学ぶための手順、役割、および責任を定義する文書です。BCP は、組織の通常業務に影響を与える中断が発生した場合に、重要なビジネス機能とプロセスの継続を確保するための手順、リソース、およびアクションを定義する文書です。これらの計画には、災害発生後に業務が再開されるまでの時間、またはリソースが再び使用可能になるまでの時間である目標復旧時間 (RTO) などの他の指標が含まれる場合がありますが、RPO は必要ありません。
参照 = 1: IS 災害復旧目標 - 実行モジュール 2: 情報システム緊急時対応計画ガイダンス - ISACA 3: CISM 認定情報セキュリティ管理者 - 質問 1411 4: CISM レビューマニュアル、第 16 版、ISACA、2021 年、23 ページ。: CISM レビューマニュアル、第 16 版、ISACA、2021 年、223 ページ。: CISM レビューマニュアル、第 16 版、ISACA、2021 年、199 ページ。: RTO と RPO - 違いは何ですか? - Advisera