セクション: 情報セキュリティプログラム管理

組織の情報セキュリティ戦略は、リスク許容度、つまり組織がその目標達成のために受け入れるリスクのレベルと整合させる必要があります。戦略は、セキュリティ対策にかかるコストと、セキュリティインシデントが組織の目標に及ぼす潜在的な影響とのバランスをとることを目指すべきです。したがって、組織のリスク許容度は、情報セキュリティ戦略に最も大きな影響を与えます。
組織のリスク許容度は、情報セキュリティ戦略に最も大きな影響を与えます。なぜなら、リスク許容度は、組織がどの程度のリスクを許容するか、そしてリスクを軽減または移転するためにどの程度のリソースを割り当てるかを決定するからです。組織構造、業界のセキュリティ基準、そして情報セキュリティ意識は、情報セキュリティ戦略の実施と有効性に影響を与える重要な要素ですが、組織のリスク許容度ほど大きな影響はありません。
情報セキュリティ戦略とは、組織が情報セキュリティ目標を達成し、情報セキュリティリスクに対処する方法を定義した高レベルの計画です。情報セキュリティ戦略は、組織のビジネス戦略と整合し、組織の使命、ビジョン、価値観、そして文化を反映する必要があります。また、情報セキュリティ戦略では、法律、規制、競合他社、顧客、サプライヤー、パートナー、ステークホルダー、従業員など、組織の情報セキュリティ環境に影響を与える外部要因と内部要因も考慮する必要があります。

説明/参照:
Explanation:
セキュリティ意識啓発資料をわかりやすく魅力的なものにすることが、最も重要な成功要因です。
ユーザーは、複雑なセキュリティ概念を分かりやすい言葉で理解し、コンプライアンス遵守を容易にする必要があります。選択肢Aも重要ですが、適切な形式で提示する必要があります。詳細なセキュリティポリシーは、必ずしもトレーニング教材に含まれているとは限りません。
上級管理者の承認は、セキュリティ プログラム全体にとって重要ですが、意識向上トレーニング マテリアルにとっては必ずしも重要ではありません。

セクション: 情報リスク管理

インシデント対応チームは、インシデント発生時に復旧の優先順位を割り当てることで、ビジネス影響分析（BIA）の結果を最大限に活用できます。BIAは、組織のビジネス機能、プロセス、リソースの重要性と依存性、そしてそれらの中断や損失による潜在的な影響と結果を特定し、評価するプロセスです。BIAの結果は、組織の事業継続性と災害復旧のための復旧目標、戦略、計画を決定するための基礎となります。BIAの結果を活用することで、インシデント対応チームは、最も重要かつ時間的制約のあるビジネス機能、プロセス、リソースの復旧を優先し、適切なリソース、人員、時間を割り当てることで、インシデントの影響と期間を最小限に抑えることができます。
総所有コスト（TCO）（B）の算出は、インシデント対応とは直接関係がないため、BIAの結果を活用する適切な方法ではありません。TCOは、資産またはシステムのライフサイクル全体にわたる所有および運用にかかる直接コストと間接コストの合計を推定する財務指標です。TCOは、さまざまなセキュリティソリューションや代替手段の費用対効果と投資収益率を評価するのに役立つ場合がありますが、インシデント対応チームがインシデントに対応したり、インシデントから復旧したりする上では役に立ちません。
事業復旧に不可欠なベンダーの評価も、BIAの結果を活用する適切な方法ではありません。これは、インシデント対応チームの主要な責任ではないためです。事業復旧に不可欠なベンダーの評価は、ベンダー管理プロセスの一部であり、組織の事業継続性と災害復旧を支援するために不可欠な製品やサービスを提供するベンダーの選定、契約、監視、レビューが含まれます。事業復旧に不可欠なベンダーの評価は、インシデント発生前または発生後に実施できますが、インシデント発生中には実施できません。インシデント対応や復旧活動には寄与しないためです。
インシデント復旧フェーズ（D）後の残留リスクの計算も、BIAの結果をタイムリーかつ効果的に活用するものではないため、BIAの結果を活用する適切な方法とは言えません。残留リスクとは、リスク対応または軽減策を実施した後に残るリスクのことです。インシデント復旧フェーズ後の残留リスクの計算は、インシデントレビューまたは改善プロセスの一環として行うことができますが、インシデント対応チームによるインシデントの解決または封じ込めに役立たないため、インシデント対応フェーズまたは復旧フェーズでは行うべきではありません。
参考資料 = CISMレビューマニュアル、第16版、第4章：情報セキュリティインシデント管理、セクション：インシデント対応計画、サブセクション：ビジネス影響分析、182～1831ページ