影響を受けたシステムを隔離することは、インシデント対応プロセスの第一段階です。これは、攻撃を封じ込め、さらなる被害を防ぎ、分析のための証拠を保存するのに役立ちます。システムの隔離は、ネットワークから切断する、悪意のあるトラフィックをブロックする、または隔離ルールを適用するなどの方法で行うことができます。
参考資料 = CISMレビューマニュアル2022、3121ページ；CISM試験内容概要、ドメイン4、タスク4.22；サイバーセキュリティインシデント対応演習ガイダンス3

リスク分析は組織のあらゆる活動を対象に行う必要があります。システムのサブセットやシステムとインフラストラクチャだけに限定されるべきではありません。

ISO/IEC 27001などの国際セキュリティ規格に関するベンダーの認証を信頼する前に、情報セキュリティ管理者は、認証範囲が提供されるサービスに関連していることを確認することが最も重要です。認証範囲は、ベンダーが実装および監査した情報セキュリティ管理システム（ISMS）の境界と適用範囲を定義します。認証範囲は、クライアントへのサービス提供に関わるプロセス、活動、資産、および拠点をカバーする必要があります。認証範囲が狭すぎたり、広すぎたり、サービス内容と一致していない場合、認証はベンダーのセキュリティ能力とパフォーマンスを十分に保証できない可能性があります。
セキュリティプロセスの評価に最新の国際規格が使用されているかどうか（A）は重要な要素ですが、最も重要な要素ではありません。情報セキュリティ管理者は、ベンダーの認証が、情報セキュリティに関する最新のベストプラクティスと要件を反映した最新バージョンの規格に基づいていることを確認する必要があります。ただし、規格自体は汎用的で適応性が高く、特定のセキュリティ管理策やソリューションを規定するものではありません。したがって、認証は、ベンダーが提供するサービスに対して最も適切または効果的なセキュリティプロセスを実装していることを保証するものではありません。
契約期間中、認証が最新の状態に維持されること（B）も重要な要素ですが、最も重要な要素ではありません。情報セキュリティ管理者は、ベンダーの認証が有効かつ最新の状態であること、そしてベンダーが契約期間を通じて標準への準拠を維持していることを確認する必要があります。ただし、認証は一度限りのイベントではなく、定期的な監視監査と3年ごとの再認証を必要とする継続的なプロセスです。したがって、認証によって、ベンダーのセキュリティ能力とパフォーマンスが契約期間中一貫して、または満足のいく水準に維持されることが保証されるわけではありません。
認証は顧客の事業にも適用可能であるか（D）は、認証がベンダーのISMSに特化しており、顧客の事業には適用されないため、関連要因ではありません。情報セキュリティマネージャーは、ベンダーの認証を、顧客自身のセキュリティポリシー、標準、または管理策の代替または補完として利用すべきではありません。情報セキュリティマネージャーは、ベンダーのデューデリジェンスとリスク評価を実施し、両者のセキュリティの役割、責任、期待、および指標を定義する明確かつ包括的なサービスレベル契約（SLA）を確立する必要があります。
参考文献 = CISMレビューマニュアル、第16版、第3章：情報セキュリティプログラムの開発と管理、セクション：情報セキュリティプログラム管理、サブセクション：調達とベンダー管理、142～1431ページ