セクション: 情報セキュリティプログラム管理

リスクオーナー（A）は、リスクの影響を受けるビジネスプロセスまたは資産に責任を負い、最終的にその決定の結果を負うため、特定のリスク対応オプションを承認するのに最適な立場にあります。CISMは、リスクに関する助言を行う役割（例：情報セキュリティマネージャー、リスク管理部門）と、リスクを所有し受け入れる役割を明確に区別しています。上級管理職（D）はリスク選好度とリスク許容度を定義しますが、日常的な対応決定は、その範囲内でリスクオーナーに委任されます。対応オプションの承認には、運用上の影響、コスト、およびビジネス価値を理解する必要があり、リスクオーナーは適切な権限を有します。
参考資料: ISACA CISM レビュー マニュアル (リスク管理 - リスクの所有権、説明責任、およびリスク対応)、CISM 試験内容概要 (ドメイン 1)。

データ所有者は、データに適切な分類を適用する責任を負います。組織の最終責任者は上級管理職です。セキュリティ担当者は、所有者が指定した分類レベルに応じたセキュリティ保護を適用する責任を負います。技術グループはデータ所有者からデータの保管を委任されていますが、情報の分類は行いません。

インベントリの作成は、資産分類プログラム開発における最初のステップです。これは、保護および分類が必要な組織のすべての情報システム資産を特定し、リスト化するのに役立つためです。インベントリには、資産名、説明、所有者、管理者、場所、種類、価値、その他の関連属性を含める必要があります。また、インベントリを作成することで、資産の所有権と管理権限を確立することができ、これは資産の保護と分類における役割と責任を定義する上で不可欠です12。各資産の分類（A）は、インベントリ作成後の資産分類プログラム開発における次のステップです。各資産の分類には、組織にとっての価値、機密性、および重要度に基づいて、各資産にセキュリティレベルまたはカテゴリを割り当てることが含まれます。セキュリティレベルまたはカテゴリによって、各資産に必要な保護レベルと制御が決まります12。デジタル著作権管理ツールのビジネスケースの作成は、資産分類プログラム開発におけるステップではなく、資産分類結果に基づく可能性のある結果または推奨事項です。デジタル著作権管理ツールは、機密資産への不正アクセス、コピー、配布の防止など、セキュリティポリシーとセキュリティ目標の適用を支援する制御の一種です3。データ損失防止（DLP）システム（D）の導入も、資産分類プログラム開発のステップではなく、資産分類結果に基づく可能性のある成果または推奨事項です4。DLPシステムは、電子メール、Web、リムーバブルメディアなどを介した機密資産の紛失や漏洩を監視、検出、防止するのに役立つ制御の一種です4。参考文献：1：CISMレビューマニュアル第15版、77～78ページ1、2：IT資産評価、リスク評価、および制御実装モデル - ISACA2、3：デジタル著作権管理とは？ - Techopediaの定義3、4：データ損失防止（DLP）とは？ - Techopediaの定義4

セキュリティインシデントのエスカレーション手順において最も重要なのは、通知基準です。これは、通知基準が、インシデントの重大性、影響、性質に応じて、インシデントについて誰に、いつ、どのように通知する必要があるかを定義するためです。通知基準は、適切な関係者がインシデントを認識し、対応、軽減、復旧に必要な措置を講じることができるようにするために役立ちます。また、通知基準は、顧客、当局、メディアなどの外部関係者へのインシデント報告に関する法的および規制上の要件を遵守するのにも役立ちます。
通知基準は、インシデントの重大性、影響、性質に応じて、インシデントについて誰に、いつ、どのように通知する必要があるかを定義します。（CISMマニュアルまたは関連リソースより）参考文献：CISMレビューマニュアル第15版、第4章、セクション4.2.2、2121ページ；CISMレビュー問題、解答および解説マニュアル第9版、質問1、1ページ