リスク対応計画は、特定されたリスクシナリオに対処するために実行されるアクションの概要を示す文書です。
リスク対応計画には、各リスク対応の目的、範囲、役割と責任、リソース、タイムライン、および測定基準を含める必要があります。リスク対応計画の所有権を割り当てることは、リスク管理プロセスに関与する利害関係者間の説明責任、明確性、およびコミュニケーションを確保するため、特定されたリスク シナリオを軽減する最も効果的な方法です。所有権を割り当てると、リスク対応計画の進捗状況と有効性を監視および評価し、必要に応じて調整を行うのにも役立ちます。参考文献 = リスクおよび情報システム管理研究マニュアル、第 3 章: リスク対応と軽減、セクション 3.3: リスク対応計画、p. 152-155。

説明/参照:
Explanation:
ビジネス管理とは、プログラム管理に関連する役割を持つビジネス担当者のことです。通常、リスクの分析、リスク プロファイルの維持、リスクを考慮した意思決定に責任を負います。これ以外にも、リスクの管理、イベントへの対応などにも責任を負います。
誤った回答:
B: Business process owner is an individual responsible for identifying process requirements, approving process design and managing process performance. He/she is responsible for analyzing risks, maintaining risk profile, and risk-aware decisions but is not accounted for them.
C: CIO is the most senior official of the enterprise who is accountable for IT advocacy; aligning IT and business strategies; and planning, resourcing and managing the delivery of IT services and information and the deployment of associated human resources. CIO has some responsibility analyzing risks, maintaining risk profile, and risk-aware decisions but is not accounted for them.
D: CRO is the individual who oversees all aspects of risk management across the enterprise. He/she is responsible for analyzing risks, maintaining risk profile, and risk-aware decisions but is not accounted for them.

セクション: ボリューム D

状況を解決し、包括的なリスク対応計画を定義する最も効果的な方法は、根本原因分析を実行することです。根本原因分析は、問題またはインシデントの発生につながった根本的な要因または原因を特定して対処する方法です1。この場合、問題またはインシデントは、組織に影響を与えたマルウェア感染です。根本原因分析を実行することで、組織はマルウェアがシステムに感染できた方法と理由、どの脆弱性または弱点が悪用されたか、どの制御またはプロセスが失敗または欠落していたか、およびどのようなアクションまたは決定が状況の一因となったかを判断できます。根本原因分析は、組織が同様のインシデントの再発を防止または軽減するのに役立つだけでなく、リスク管理プロセスの有効性と効率性を向上させるのに役立ちます。根本原因分析は、組織が包括的なリスク対応計画を定義するのにも役立ちます。これは、リスクの軽減、回避、移転、または受け入れなど、リスクを修正するために実行される一連のアクションまたは対策です2。
根本原因分析の調査結果と推奨事項に基づいて、組織はマルウェア リスクだけでなく、その他の関連リスクや新たなリスクに対して最も適切なリスク処理オプションを選択して実装できます。リスク処理計画には、リスク処理アクションの役割と責任、リソース、タイムライン、パフォーマンス指標も含める必要があります3。その他のオプションは、根本原因分析ほど徹底的ではないか、関連性が低いため、状況を解決して包括的なリスク処理計画を定義するための最も効果的な方法ではありません。ギャップ分析は、プロセス、システム、または組織の現在の状態と望ましい状態を比較し、それらのギャップまたは違いを特定する方法です4。ギャップ分析は、組織が改善または強化する領域、および望ましい状態を達成するための機会や課題を特定するのに役立ちます。ただし、ギャップ分析は、マルウェア感染の原因や結果、またはリスクを軽減するためのアクションや対策に対処しないため、状況を解決して包括的なリスク処理計画を定義するための最も効果的な方法ではありません。影響評価とは、変更、決定、またはアクションがプロセス、システム、または組織に及ぼす潜在的な影響や結果を推定する方法です5。影響評価は、提案または実装された変更、決定、またはアクションの利点とコスト、およびリスクと機会を組織が評価するのに役立ちます。
However, an impact assessment is not the most effective way to resolve the situation and define a comprehensive risk treatment plan, as it does not investigate the origin or nature of the malware infection, or the solutions or alternatives to manage the risk. A vulnerability assessment is a method of identifying and analyzing the weaknesses or flaws in a process, system, or organization that can be exploited by threats to cause harm or loss6. A vulnerability assessment can help the organization to discover and prioritize the vulnerabilities, as well as to recommend and implement the controls or measures to reduce or eliminate them.
However, a vulnerability assessment is not the most effective way to resolve the situation and define a comprehensive risk treatment plan, as it does not consider the root causes or impacts of the malware infection, or the risk treatment options or plans to address the risk. References = Risk and Information Systems Control Study Manual, 7th Edition, Chapter 2, Section 2.1.8, Page 61.

パッチが適用されていないシステムの割合は、主要リスク指標 (KRI) として分類するのが最適です。KRI は、ビジネスのさまざまな領域でリスクの露出が増大していることを早期に知らせるために組織が使用する指標です。詳細な説明は次のとおりです。
* KRIを理解する:
* 定義: KRI は、組織のリスク レベルに関する洞察を提供する特定の指標です。
これらは、速やかに対処しないとビジネスに悪影響を与える可能性のある潜在的なリスクを特定するのに役立ちます。
* 目的: KRI は、リスク管理戦略の有効性を監視し、新たなリスクに対する早期警告システムを提供するために使用されます。
* KRI としてのパッチ未適用システムの割合:
* 脆弱性の指標: パッチが適用されていないシステムの割合は、組織がサイバー脅威に対してどの程度脆弱であるかを直接示します。パッチが適用されていないシステムは攻撃者の一般的な侵入口であるため、この指標は組織のサイバーリスクへの露出を評価する上で非常に重要です。
* セキュリティ体制への影響: パッチが適用されていないシステムの割合が高いと、セキュリティ インシデントの発生可能性が大幅に高まるため、リスク管理にとって重要な指標となります。
* プロアクティブなリスク管理: この KRI を監視することで、組織は脆弱性が悪用される前にプロアクティブな対策を講じて脆弱性に対処することができます。
* 他のオプションとの比較:
* 脅威ベクトル: 脅威ベクトルとは、脅威が資産に到達して影響を与える経路または手段を指します。これは、パッチが適用されていないシステムの割合のような指標ではありません。
* 重要な成功要因 (CSF): CSF は、組織がミッションを達成するために必要な重要な要素です。重要ではありますが、リスクを測定するために使用される特定の指標ではありません。
* 主要業績評価指標 (KPI): KPI は、組織が主要なビジネス目標をどれだけ効果的に達成しているかを測定します。関連性はありますが、KPI はリスクの露出ではなくパフォーマンスに重点を置いています。
* CRISC レビュー マニュアル: KRI とリスク管理におけるその役割に関する詳細な情報を提供します。
* ISACA リスク IT フレームワーク: IT リスクを効果的に監視および管理するための KRI の使用について説明します。
参考文献: