は正しくありません。プロジェクト憲章は、プロジェクトを正式に承認する文書です。プロジェクト憲章は、プロジェクト マネージャーに、組織のリソースをプロジェクト活動に適用する権限を与えます。

組織が、プライバシー規制が厳しい地理的場所からシステムにアクセスするユーザーの権利と期待される行動を説明する法的文書を提供する場合に適用される制御の種類は、指示的です。指示的制御は、ユーザーまたはスタッフがタスクまたはアクティビティを実行する際に従う必要があるポリシー、手順、または標準について、ユーザーまたはスタッフにガイドまたは指示する制御です。指示的制御は、ユーザーまたはスタッフが組織またはシステムの期待と要件を認識し、情報提供できるようにすることで、非準拠、エラー、または違反のリスクを防止または軽減するのに役立ちます。また、指示的制御は、ユーザーまたはスタッフの説明責任と責任を強化し、その行動と行動の監査と監視をサポートするのにも役立ちます。プライバシー規制が厳しい地理的場所からシステムにアクセスするユーザーの権利と期待される行動を説明する法的文書を提供することは、指示的制御の例です。これは、システムを使用することの法的義務と結果をユーザーに知らせ、自分のプライバシーと他人のプライバシーを保護する方法をユーザーに指示するからです。
検出、予防、補償は、適用された制御の定義または目的と一致しないため、適切な制御の種類ではありません。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、217 ページ。

残留リスクとは、固有のリスクを軽減するためにコントロールを適用した後に残るリスクです。固有のリスクとは、コントロールを検討する前に存在するリスクです。主要リスク指標 (KRI) は、リスクのレベルと影響を測定する指標です。リスク選好度とは、組織が目的を追求するために受け入れるリスクの量と種類です。データ損失防止 (DLP) システムがクレジットカード データを含む送信メールを検出できない場合、データ漏洩、データ損失、およびデータ流出インシデントの可能性と影響が増大するため、残留リスクに最も影響します。これらのインシデントは、組織に財務、評判、法律、および規制上の損害をもたらす可能性があります。DLP システムの障害は、リスク エクスポージャーのレベルが高くなり、コントロールの有効性のレベルが低くなるため、KRI にも影響します。
ただし、KRI はリスクそのものではなく、リスクの指標です。DLP システムの障害は、コントロールとは独立しているため、固有のリスクやリスク許容度に直接影響しません。固有のリスクは、データの性質と価値、および存在する脅威と脆弱性に基づいているため、同じままです。リスク許容度も、組織の文化、戦略、利害関係者の期待に基づいているため、同じままです。したがって、最も影響を受ける要因は、コントロールを適用した後に組織が直面する実際のリスク レベルを反映する残余リスクです。参考文献 = Risk IT Framework、ISACA、2022、p. 131

Explanation/Reference:
Explanation:
Risk avoidance involves changing the project management plan to eliminate the threat entirely. The project manager may also isolate the project objectives from the risk's impact or change the objective that is in jeopardy. Examples of this include extending the schedule, changing the strategy, or reducing the scope.
The most radical avoidance strategy is to shut down the project entirely. Some risks that arise early in the project can be avoided by clarifying requirements, obtaining information, improving communication, or acquiring expertise.
Incorrect Answers:
A: Exploit risk response is used for positive risk or opportunity, not for negative risk.
B: This risk response does require a change request, in some instances, but it's the avoidance risk response and not just a change request.
D: Transference allows the risk to be transferred, not removed from the project, to a third party.
Transference usually requires a contractual relationship with the third party.