セクション: ボリューム D

セクション: 巻 A
説明/参照:
Explanation:
企業の戦略計画の見直しは、企業の長期計画に適合する効果的な IS 制御を設計するための第一歩です。
誤った回答:
A: IT 戦略計画は企業の戦略計画をサポートするために存在しますが、情報システム制御の設計時にのみ考慮されるものではありません。
B: 既存の IT 環境の見直しも有用かつ必要ですが、最初に実行する必要があるステップではありません。
D: 現在の IT 予算は戦略計画の構成要素の 1 つにすぎません。

データ管理者は、データ所有者から委託されたデータを保護するためのセキュリティ制御の実装と維持を担当する人物です。データ管理者は通常、データを保護するセキュリティ システムとプロセスを管理するための技術的スキルとアクセス権を持つシステム管理者またはセキュリティ システム管理者です。データ管理者の責任には、次のものが含まれますが、これらに限定されません。
ファイアウォール、ウイルス対策ソフトウェア、暗号化ツールなどのセキュリティ システムをインストール、構成、更新します。ネットワーク トラフィックとシステム ログを監視して、セキュリティ インシデントを検出し、対応します。セキュリティ ポリシーと標準への準拠を確保するために、定期的なセキュリティ評価と監査を実施します。データの可用性と整合性を確保するために、バックアップと回復の手順を実装します。データ管理者は、データとその使用に関する権限と説明責任を持つデータ所有者の指示とガイダンスに従って作業します。データ所有者は、データの分類、データの保持期間、およびデータのアクセス権と特権を定義します。また、データ所有者は、セキュリティ制御またはデータ自体の変更を承認します。データ所有者は通常、データに関するビジネス知識と責任を持つ上級管理者またはビジネス ユニットのリーダーです。参考文献 = リスクおよび情報システム制御研究マニュアル、第 1 章: IT リスクの特定、セクション 1.3: データ分類、11 ～ 131 ページ

緊急変更要求の数は、実装されたコントロールが効果的に機能しているかどうかを確認する際に検討すべき最も重要な要素です。これは、コントロールの緊急の変更を必要とするインシデントや問題の頻度と重大性を示し、コントロールの欠陥や失敗を反映している可能性があるためです。ベンチマーク調査の結果、リスク評価の結果、および成熟度モデルは、コントロールの有効性の確認よりも、コントロールの比較、評価、または改善にそれぞれ関連しているため、最も重要な要素ではありません。参考文献 = CRISC レビュー マニュアル、第 7 版、154 ページ。