ポリシー例外とは、情報セキュリティ ポリシーなど、企業の確立されたポリシー、標準、または手順からの逸脱です。ポリシー例外は、逸脱に対する正当なビジネス上の理由または正当性があり、逸脱に関連するリスクが許容可能または軽減されている場合に、経営陣によって許可される場合があります。ビジネス ユニットが、脆弱なパスワード制御を使用する市販の商用ソフトウェア パッケージを実装するリスクを受け入れることを決定した場合、最善の対応策は、ポリシー例外の経営陣の承認を得ることです。これにより、ビジネス ユニットがポリシー例外の影響と結果を認識し、経営陣がリスクの受け入れに同意し、ポリシー例外を承認することが保証されます。その他のオプションは、異なるリスク対応戦略​​または結果を伴うため、最善の対応策ではありません。
* パスワード ソフトウェア ルーチンの改善とは、パスワードの長さ、複雑さ、有効期限を増やすなど、ビジネス ユニットがソフトウェア パッケージのパスワード制御を変更または強化することを意味します。これは、ソフトウェア ベンダーの利用規約に違反したり、ソフトウェア パッケージと互換性や一貫性がなかったりする可能性があるため、脆弱なパスワード制御のリスクに対処するための実行可能または効果的な方法ではない可能性があります。
* 強力なパスワード制御を備えた別のアプリケーションを選択するということは、ビジネス ユニットがソフトウェア パッケージを、暗号化、認証、承認などを使用した、より優れたパスワード制御を備えた別のアプリケーションに置き換えることを意味します。これは、追加のコスト、遅延、または複雑さが発生したり、ビジネス ユニットのビジネス要件や期待を満たさなかったりする可能性があるため、弱いパスワード制御のリスクに対処するための望ましくない、または効率的な方法ではない可能性があります。
* 変更なしで実装を続行するということは、ビジネス ユニットがパスワード制御の変更や改善を行わず、ポリシー例外の承認や文書化を行わずにソフトウェア パッケージを進めることを意味します。これは、弱いパスワード制御のリスクに対処する責任ある、または倫理的な方法ではない可能性があります。これは、企業を法的、財務的、または評判上のリスクにさらしたり、企業のセキュリティやコンプライアンスを危険にさらしたりする可能性があるためです。参考文献 = リスクおよび情報システム制御研究マニュアル、第 7 版、第 3 章、セクション 3.4.1.1、121 ～ 122 ページ。

リスク所有者から提供される月次ステータス レポートを確認する任務を負う上級管理職の RACI モデルでの役割は説明責任です。これは、リスク管理の決定とアクションを承認または拒否し、リスク管理のパフォーマンスと結果を監督する最終的な権限と責任を持つことを意味します。その他のオプションは、リスク管理プロセスへの関与または参加のレベルまたはタイプが異なること (それぞれ、通知、責任、または相談など) を意味するため、適切な役割ではありません。参考文献 = CRISC レビュー マニュアル、第 7 版、101 ページ。

The most important requirement for monitoring key risk indicators (KRIs) using log analysis is providing accurate logs in a timely manner, because this ensures that the risk data is reliable, relevant, and up-to-date.
Logs are records of events or activities that occur in IT systems, such as network traffic, user actions, system errors, or security incidents. Log analysis is the process of reviewing and interpreting logs to identify and assess risks, such as performance issues, operational failures, compliance violations, or cyberattacks. By providing accurate logs in a timely manner, an organization can monitor the current status and trends of its KRIs, which are metrics that measure the level and impact of risks. Accurate logs mean that the logs are complete, consistent, and free of errors or anomalies that may distort the risk data. Timely logs mean that the logs are available as soon as possible after the events or activities occur, and that they are updated frequently to reflect the latest changes. Providing accurate logs in a timely manner can help an organization to detect and respond to risks promptly, and to support risk-based decision making and reporting. References = Risk IT Framework, ISACA, 2022, p. 22