コントロール所有者の役割:
* コントロール所有者は、特定のコントロールの設計、実装、および保守を担当します。
* コントロールの目的、意図された機能、組織内での運用コンテキストに関する詳細な知識を持っています。
修復の責任:
* 侵入テストチームが効果的に設計されていないアクセス制御を発見した場合、それは制御
* 設計上のギャップを確実に是正するのは所有者の責任です。
* 管理責任者は、調査結果を評価し、有効性のなさの根本原因を特定し、特定された弱点に対処するために管理を再設計または強化するために必要な措置を講じる必要があります。
制御設計ギャップを修正する手順:
* 調査結果を評価する: 侵入テスト チームによって特定された特定の問題を理解します。
* コントロールの再設計: 特定されたギャップに対処し、セキュリティ要件を満たすようにコントロール設計を変更します。
* 変更を実装する: 再設計されたコントロールを適用し、その有効性をテストします。
* 継続的な監視: 制御が長期にわたって有効であることを確認するために、定期的に制御をレビューします。
他の役割との比較:
* リスク所有者: 全体的なリスクを管理しますが、制御設計を直接処理することはありません。
* IT セキュリティ マネージャー: セキュリティ体制を監督しますが、特定の制御責任を制御所有者に委任します。
* 制御オペレーター: 制御を操作しますが、その設計や修復については責任を負いません。
参考文献:
* CRISC レビュー マニュアルでは、コントロールの有効性の維持と改善におけるコントロール所有者の責任を強調しています (CRISC レビュー マニュアル、第 3 章「リスク対応と軽減」、セクション 3.7「コントロールの設計と選択」)。

説明/参照:
Explanation:
主要業績評価指標は、企業や業界が戦略目標や運用目標の達成という観点からパフォーマンスを測定または比較するために使用する、定量化可能な一連の尺度です。主要業績評価指標 (KPI) は、監視するコンセプトや機能の運用上の有効性に関する洞察を提供します。
誤った回答:
A: 主要リスク指標 (KRI) は、監視対象の概念または機能内で存在または実現される可能性のある潜在的なリスクに関する洞察のみを提供します。
B: 能力成熟度モデル (CMM) は、概念または能力の成熟度を評価するものであり、運用の有効性に関する洞察は提供しません。
D: メトリックしきい値は、KPI または KRI が特定の値または値のセットを報告したときに実行される決定ポイントまたはアクション ポイントです。