説明/参照:
Explanation:
リスク レジスタでは、ネットワーク ダイアグラムとクリティカル パスは検査されません。ネットワーク ダイアグラム上のアクティビティに関連するリスクが存在する可能性はありますが、ネットワーク ダイアグラムに直接対処するものではありません。
リスク レジスタは、リスク対応計画プロセスの最後に、プロセス中に発見された情報で更新されます。対応計画はリスク レジスタに記録されます。リスク レジスタでは、リスクは優先順位に従って記述されます。つまり、脅威または機会の可能性が最も高いリスクが最初に記述されます。一部のリスクには対応計画がまったく必要ありませんが、その場合も監視リストに入れてプロジェクト全体にわたって監視する必要があります。リスク レジスタには、次の要素が記述される必要があります。
特定されたリスクのリスト（説明、根本原因、リスクがプロジェクトに与える影響を含む）

目的
リスク所有者とその責任

定性分析プロセスからの出力

合意された対応戦略

リスクの引き金

リスク対応を実施するために必要なコストとスケジュール

緊急時対応計画

フォールバック計画は、最初のリスク対応計画が失敗した場合に実行されるリスク対応計画です。

効果がないことが証明される
予備費

残留リスクとは、リスク対応戦略​​が実行に移された後に残るリスクのことである。

実装された
二次リスクは、リスク対応の実施の結果として生じるリスクである。

セクション: ボリューム D

オープンソース ソフトウェアに関する組織ポリシーの欠如は、オープンソース ソフトウェア アプリケーションを使用する組織にとって最大の懸念事項です。組織が法的、セキュリティ、および運用上のリスクにさらされる可能性があるためです。オープンソース ソフトウェアとは、特定の条件とライセンスの下で、誰でも自由に利用でき、変更および配布できるソフトウェアです。オープンソース ソフトウェアに関する組織ポリシーでは、オープンソース ソフトウェアの選択、取得、使用、および保守の基準と手順、および関係する利害関係者の役割と責任を定義する必要があります。信頼性の欠如、監視の欠如、および専門家によるサポートの欠如は、オープンソース ソフトウェアの品質保証、構成管理、およびコミュニティ エンゲージメント プラクティスを実装することで対処できるため、最大の懸念事項ではありません。参考資料 = CRISC by Isaca 実際の無料試験 Q&A、質問 214、CRISC: Certified in Risk & Information Systems Control サンプル質問、質問 214。