セキュリティ管理の例外のリスク受容の最も可能性の高い正当化は、ビジネス上の利点が損失の露出を上回る場合です。リスク受容は、リスクを軽減または移転するための措置を講じることなく、リスクを認識して許容するリスク対応戦略​​です。セキュリティ管理の例外は、正当なビジネス上の理由または状況による、確立されたセキュリティ ポリシーまたは標準からの逸脱または非準拠です。セキュリティ管理の例外のリスク受容は、ビジネス上の利点が損失の露出を上回る場合、つまり例外の価値または利点がリスクの潜在的なコストまたは損害を上回る場合に正当化される可能性があります。たとえば、セキュリティ管理の例外により、システムまたはデータへのアクセスが高速化または容易化され、ユーザーまたは顧客の生産性、効率性、または満足度が向上し、ビジネスの収益または利益が増加する可能性があります。例外のビジネス上の利点は、リスクの損失の露出を上回る可能性があります。損失の露出は低いか無視できる場合があり、他の管理または要因によって軽減される場合もあります。したがって、セキュリティ制御の例外のリスク受け入れは、例外とリスクの費用対効果分析に基づく合理的かつ理にかなった決定である可能性があります。自動化を制御に適用できない、エンドユーザー ライセンス契約の有効期限が切れている、制御を実際に実施するのが難しいなどの理由は、セキュリティ制御の例外のリスク受け入れの最も可能性の高い正当化理由ではありません。これらは無関係または不十分な理由であり、例外とリスクのビジネス上の利点や損失の露出を考慮していないためです。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、50 ページ。

セクション: ボリューム D
Explanation:
実現可能性調査の実施は、プロジェクトを進めるための最初の承認が得られ次第開始されます。これには、ニーズを明確に定義し、そのニーズに対処するための代替案を特定するための分析が含まれます。
誤った回答:
B: ソフトウェアの取得には、利害関係者による最終承認後の新しいハードウェアまたはソフトウェアの構築または既存のハードウェアまたはソフトウェアの変更が含まれますが、これは標準の SDLC プロセスのフェーズではありません。ソフトウェアを開発するのではなく取得するという決定が下された場合、このタスクは実現可能性の調査と要件の定義の後に実行する必要があります。
C: 実現可能性調査を実施した後、プロジェクトの要件が定義されています。
D: これはプロジェクト開発プロセスの後半段階です。

ベンダー リスク評価を定期的に実行する主な理由は、ベンダーのコントロールの有効性を監視することです。ベンダー リスク評価は、サービスまたは機能をサード パーティ ベンダーにアウトソーシングすることに関連するリスクを評価するプロセスです。ベンダーが契約上の義務、サービス レベル契約、およびセキュリティ標準に準拠していること、およびベンダーのコントロールがリスクを軽減するために効果的に機能していることを確認するために、評価を定期的に実行する必要があります。組織のリスク許容度への入力の提供、ベンダーの継続的な財務的実行可能性の確認、およびベンダーのリスク軽減計画の評価も考えられる理由ですが、これらはベンダーのコントロールの有効性を監視することほど重要ではありません。参考資料 = ISACA リスクおよび情報システム コントロール (CRISC) 認定試験の質問と回答、質問 11、CRISC レビュー マニュアル、第 6 版、144 ページ。