正解: A
ポリシー例外とは、情報セキュリティ ポリシーなど、企業の確立されたポリシー、標準、または手順からの逸脱です。ポリシー例外は、逸脱に対する正当なビジネス上の理由または正当性があり、逸脱に関連するリスクが許容可能または軽減されている場合に、経営陣によって許可される場合があります。ビジネス ユニットが、脆弱なパスワード制御を使用する市販の商用ソフトウェア パッケージを実装するリスクを受け入れることを決定した場合、最善の対応策は、ポリシー例外の経営陣の承認を得ることです。これにより、ビジネス ユニットがポリシー例外の影響と結果を認識し、経営陣がリスクの受け入れに同意し、ポリシー例外を承認することが保証されます。その他のオプションは、異なるリスク対応戦略または結果を伴うため、最善の対応策ではありません。
* Develop an improved password software routine means that the business unit modifies or enhances the password controls of the software package, such as by increasing the password length, complexity, or expiration. This may not be a feasible or effective way to address the risk of weak password controls, as
* it may violate the terms and conditions of the software vendor, or may not be compatible or consistent with the software package.
* Select another application with strong password controls means that the business unit replaces the software package with another application that has better password controls, such as by using encryption, authentication, or authorization. This may not be a desirable or efficient way to address the risk of weak password controls, as it may incur additional costs, delays, or complexities, or may not meet the business requirements or expectations of the business unit.
* Continue the implementation with no changes means that the business unit proceeds with the software package without any modifications or improvements to the password controls, or without any approval or documentation of the policy exception. This may not be a responsible or ethical way to address the risk of weak password controls, as it may expose the enterprise to legal, financial, or reputational risks, or may compromise the security or compliance of the enterprise. References = Risk and Information Systems Control Study Manual, 7th Edition, Chapter 3, Section 3.4.1.1, pp. 121-122.
