= 多国籍企業は、それぞれの事業拠点で異なるセキュリティ要件を定めた政府規制に従う必要があります。つまり、CISOは、様々な法域や市場にわたる多岐にわたる法的、規制、コンプライアンスの問題に対処する必要があります。CISOは、ISO/IEC 27001、NIST CSF、PCI DSS、GDPRなどのグローバルおよび地域的な要件を満たすセキュリティプログラムの開発に最も重点を置くべきです。これらの規格は、組織の事業目標とリスク許容度に沿った情報セキュリティ管理システム（ISMS）を確立、実装、維持、改善するための枠組みを提供します。CISOはまた、セキュリティプログラムがすべての事業拠点間で一貫性と整合性を保ち、各拠点の特定の規制に準拠していることも確認する必要があります。したがって、選択肢Aが最も適切な回答です。参考文献 = 『CISMレビューマニュアル第15版』255ページ、『CISMレビュー問題、解答、解説データベース - 12ヶ月購読』QID 234。
このシナリオにおいて、最高情報セキュリティ責任者（CISO）は、組織のグローバルおよび地域的な要件を満たすセキュリティプログラムの開発に最も重点を置くべきです。これには、各事業拠点の異なる法的および規制要件を考慮し、これらすべての要件を満たすセキュリティプログラムを設計することが含まれます。CISOはまた、セキュリティプログラムのコンプライアンスと理解を確保するために、現地の規制機関との効果的なコミュニケーションを確保する必要があります。さらに、CISOは業界のベストプラクティスと定義されたセキュリティポリシーおよび標準を活用し、プログラムが適用されるすべての要件を満たしていることを確認する必要があります。

説明/参照:
Explanation:
法医学の専門知識を最初に割り当てなければ、必要なレベルの証拠を保存できない可能性があります。
選択肢Bの場合、IT部門がそのレベルの専門知識を有している可能性は低く、そのため、行動を起こさないようにすべきです。選択肢Cは、選択肢Aの後に必要となる可能性があります。選択肢D、つまり法執行機関への通報は、フォレンジック分析が完了した後に行われる可能性が高いでしょう。

セクション: 情報セキュリティガバナンス
Explanation:
子会社である現地法人は、その国で収集されたデータに関して現地法を遵守する必要があります。上級管理職は、この法令遵守の責任を負うことになります。このポリシーは社内規定であるため、現地法に優先するものではありません。さらに、現地の規制は組織の本社所在地の国とは異なるため、グループ全体のポリシーですべての現地法要件に対応することは困難です。現地で収集されたデータ（およびデータプライバシー規制が異なる国に転送される可能性があるデータ）については、本社に適用される法律ではなく、現地法が適用されます。データプライバシー法は国ごとに異なります。