セキュリティ要件への継続的なコンプライアンスを確保する最良の方法は、ベンダーの第三者認定評価（B）を定期的にレビューすることです。CISMガバナンスとサードパーティリスク管理の観点から、ビジネスクリティカルな機能をアウトソーシングする場合、継続的な保証が不可欠です。
独立したサードパーティの評価 (SOC レポートや同等の認定レビューなど) では、セキュリティ制御が定義されているだけでなく、長期にわたって効果的に動作していることを客観的かつ繰り返し可能な証拠に基づいて検証できます。
研修プログラム（A）は意識向上に有効ですが、コンプライアンスの保証にはなりません。監査権条項（C）の制定は契約上の重要な安全策ですが、通常は事後対応的または定期的なものであり、継続的なモニタリングメカニズムではありません。契約条項の再承認（D）は契約上の関連性を確保しますが、実際の統制の有効性を検証するものではありません。
CISMは、継続的なベンダーコンプライアンスは、継続的なベンダー監視に統合された独立した保証メカニズムを通じて最も効果的に達成されると強調しています。これにより、経営陣は統制の有効性を監視し、新たなリスクを特定し、タイムリーな是正措置を講じることができます。認定された第三者による評価の定期的なレビューは、ガバナンスの透明性、説明責任、そして組織のリスクアペタイトとの整合性をサポートします。
参考文献:
ISACA CISMレビューマニュアル、情報セキュリティガバナンス - サードパーティのリスク管理と継続的な保証 ISACA CISM試験コンテンツ概要、ドメイン2：情報セキュリティガバナンス

説明
情報セキュリティガバナンスは、取締役会および経営幹部の責任です。この場合、適切な対応策は、必要な安全対策を実施するための計画を確実に策定し、その実施状況の更新を要求することです。

ネットワーク分離技術は、セキュリティ侵害発生後直ちに実施されます。侵害を受けたシステムまたはネットワークから環境の他の部分へのアクセスと通信を制限することで、被害の拡大を抑制します。これにより、マルウェアの拡散、データの流出、攻撃者による権限の昇格を防ぐことができます。ネットワーク分離技術には、影響を受けたシステムまたはネットワークをインターネットから切断する、特定のポートまたはプロトコルをブロックまたはフィルタリングする、隔離されたシステムまたはネットワーク用に個別のVLANまたはサブネットを作成するなどが含まれます。ネットワーク分離技術はインシデント対応プロセスの一部であり、セキュリティ侵害の検出後、可能な限り速やかに実施する必要があります。参考文献：CISMレビューマニュアル第15版、308～3091ページ；CISMレビュー問題、解答、解説データベース -
12ヶ月サブスクリプション、質問ID: 1162