説明/参照:
Explanation:
脆弱性は、脅威によって悪用される可能性のある情報リソースの特性を表します。指定されたシナリオはそのような状況を説明しているため、これは脆弱性です。
不正解:
A: 確率は脅威が発生する可能性を表すものであり、このシナリオは確率を説明するものではありません。
B: 脅威とは、情報リソースに損害を与える可能性のある状況またはイベントです。このシナリオは脅威を説明するものではありません。
D: 影響は、脆弱性を悪用した脅威の結果を表します。語幹は衝撃を表しません。

セクション: A 巻
Explanation:
定期的な監査により情報セキュリティ コンプライアンスのギャップを発見できるため、定期的な監査により、アウトソーシング サービス プロバイダーが企業の情報セキュリティ ポリシーに準拠していることを確認できます。
不正解:
A: 侵入テストではセキュリティの脆弱性を特定できますが、情報のコンプライアンスを保証することはできません。
B: サービス レベルの監視では、企業の運用環境における運用上の問題しか特定できません。アウトソーシングされたサービス プロバイダーが企業の情報セキュリティ ポリシーに準拠していることを保証する役割は果たしません。
C: トレーニングは情報セキュリティ ポリシーに対するユーザーの意識を高めることができますが、定期的な監査ほど効果はありません。

説明/参照:
Explanation:
主要業績評価指標 (KPI) は、監視する概念や機能の運用上の有効性についての洞察を提供します。重要業績評価指標は、企業または業界が戦略的および運用上の目標の達成に関してパフォーマンスを測定および/または比較するために使用する一連の尺度です。
KPI は、優先順位やパフォーマンス基準に応じて企業ごとに異なります。
企業は戦略的および運営上の目標を設定し、それらの目標を最もよく反映できる KPI を選択する必要があります。たとえば、ソフトウェア会社の目標が業界で最速の成長を遂げることである場合、その主な業績指標は年間収益の伸びの尺度になる可能性があります。
不正解:
A: 機能成熟度モデル (CMM) は、概念または機能の成熟度を評価しますが、運用の有効性についての洞察は提供しません。
B: メトリックしきい値は、KPI または KRI が特定の値または値のセットを報告するときに制定される決定ポイントまたはアクション ポイントです。運用上の有効性についての洞察は提供されません。
C: 主要リスク指標 (KRI) は、監視する概念や機能内に存在する、または実現される可能性のある潜在的なリスクについての洞察を提供するだけです。主要リスク指標は、企業の主要な監視指標です。KRI は関連性が高く、重要なリスクを予測または示す可能性が高くなります。
KRI は、大企業が管理および報告する必要がある過剰な数のリスク指標を回避するのに役立ちます。