セクション: 情報セキュリティプログラム管理
Explanation:
セキュリティ意識向上トレーニングは、アクセスを許可する前に実施する必要があります。これは、セキュリティがシステムと業務プロセスの一部であることを新入社員に理解させるためです。その他の選択肢は、システムアクセスの許可後にセキュリティ意識向上トレーニングを実施することを意味し、セキュリティが二次的なステップとなる可能性があります。

セクション: 情報セキュリティプログラム管理
Explanation:
セキュリティ意識向上トレーニングを実施しないと、セキュリティプログラムの多くの要素が効果的に実装されない可能性があります。その他のオプションは必須の場合もあれば、そうでない場合もありますが、任意です。

説明
情報セキュリティ戦略策定の第一歩は、情報セキュリティへの取り組みにサポート、ガイダンス、そしてリソースを提供できる主要なステークホルダーを特定することです。これらのステークホルダーには、経営幹部、事業部門のリーダー、法務顧問、監査・コンプライアンス担当者、その他の関係者が含まれます。情報セキュリティ管理者は、これらのステークホルダーを早期に関与させることで、戦略がビジネス目標や期待と整合していることを保証し、彼らの賛同とコミットメントを得ることができます。許容可能なリスクレベルの決定、ロードマップの作成、ギャップ分析の実施は、情報セキュリティ戦略策定における重要なステップですが、主要なステークホルダーを特定した後に実施する必要があります。

CISMガバナンス原則では、データ所有者はデータ保護の責任を負います。責任には、データの分類、アクセス許可、許容される使用、保持、リスクの受容に関する決定が含まれます。CISO（A）は監督とガイダンスを提供しますが、個々のデータ資産に対する責任は負いません。データ管理者（B）と管理者（D）は、管理策の実装と運用に責任を負いますが、データに関連するビジネスリスクを負うことはありません。CISMは、説明責任（ビジネス）と責任（運用/技術）を明確に区別しています。データ所有者に説明責任を割り当てることで、保護要件がビジネス価値、規制上の義務、およびリスク許容度と整合していることが保証されます。
参考資料: ISACA CISM レビュー マニュアル (ガバナンス - 役割と責任、情報資産の所有権)、CISM 試験内容概要 (ドメイン 2)。

説明
ビジネス継続計画 (BCP) のテストを実施する際には、テストが重要なコンポーネントに対応していることが最も重要な考慮事項です。これにより、中断が発生した場合に組織の業務を維持または再開するために必要な重要な機能、プロセス、およびリソースがテストでカバーされることが保証されます。
テストでは、復旧時間目標 (RTO) や復旧ポイント目標 (RPO) などの復旧目標が達成されているかどうかも検証する必要があります。(CISM レビュー マニュアル 15 版より) 参考資料: CISM レビュー マニュアル 15 版、178 ページ、セクション 4.3.2.1、CISSP 試験対策: ビジネス継続性と災害復旧計画 1、5 ページ、計画のテストのセクション。