統制自己評価 (CSA) は、ビジネス ユニット、機能、またはプロセスに直接関与するマネージャーと作業チームが、組織のリスク管理および統制プロセスの評価に参加できるようにする手法です。CSA を実施する主な目的は、組織内の統制の有効性をより深く理解することです。つまり、望ましい結果を達成し、リスクを軽減するために、統制がどの程度適切に設計、実装、および運用されているかということです。CSA は、既存の統制の長所と短所、およびギャップと改善の機会を特定するのに役立ちます。CSA は、マネージャーとスタッフの間で統制環境の認識、所有権、および説明責任を強化するのにも役立ちます。その他のオプションは、関連性があったり有益であったりする場合もありますが、CSA を実施する主な目的ではありません。組織内のリスクをより深く理解することは、CSA を実施した結果ですが、主な目標ではありません。主な目標は、リスク自体ではなく、リスクに対処する統制を評価することです。外部監査の前にコントロールを調整することは、CSA に続く可能性のあるアクションですが、CSA を実施する理由ではありません。CSA を実施する理由は、監査の準備ではなく、コントロールの有効性を向上させることです。外部監査への依存を減らすことは、CSA を実施することの潜在的な利点ですが、CSA を実施する目的ではありません。CSA を実施する目的は、外部監査の保証に代わるものではなく、内部コントロールの保証を強化することです。参考文献 = CRISC レビュー マニュアル、153 ～ 1541 ページ、CRISC レビューの質問、回答、および説明マニュアル、802 ページ

セクション: ボリューム D
Explanation:
確率と影響のマトリックスは、プロジェクトの特定されたリスクをリスク評価に基づいて優先順位付けする手法であり、定性的なリスク分析を実行する際に作成されます。各リスクの重要性、つまり注意すべき優先順位の評価は、通常、ルックアップ テーブルまたは確率と影響のマトリックスを使用して行われます。このマトリックスは、リスクを低、中、高の優先度として評価するための確率と影響の組み合わせを指定します。
誤った回答:
A、B: これらのプロセスはリスク管理の一部です。確率と影響のマトリックスは、リスク評価に基づいてさらに定量的な分析と対応を行うために、定性的なリスク分析中に作成されます。
C: SLE、ARO、ALEは定量的リスク評価に使用されます。

情報分類ポリシーは、機密データの取り扱いに関する最も重要な文書です。これは、機密性、機密性、組織にとっての価値に応じてデータを分類するためのカテゴリと基準を定義し、各カテゴリの適切な取り扱いと保護対策を指定するためです。機密データとは、許可なく開示、変更、または破棄された場合に組織またはその関係者に危害や損害を与える可能性のある個人情報、専有情報、または秘密情報を含むデータです。情報分類ポリシーは、機密データが一貫して安全な方法で識別および取り扱われ、組織がデータ保護とプライバシーに関する適用法と規制に準拠していることを保証するのに役立ちます。暗号化ポリシー、組織のリスク プロファイル、およびデジタル著作権管理ポリシーはすべて、機密データの取り扱いに役立つ文書ですが、機密データの分類と取り扱いに直接対処していないため、最も重要な文書ではありません。
参考文献 = リスクおよび情報システム管理研究マニュアル、第 4 章、セクション 4.3.2、158 ページ

は正しくありません。悪意のあるコードからの保護はメディア保護コントロールではありません。
メディア保護には、テープ、外付けハードドライブ、USBなどのリムーバブルデジタルメディアが含まれます。
フラッシュドライブ。紙やフィルムなどの非デジタルメディアも含まれます。このコントロールファミリー
メディアへのアクセス、マーキング、保管、輸送、および衛生管理をカバーします。

A change management process is a set of procedures and activities that aim to ensure that changes in an organization's IT systems and services are implemented in a controlled and coordinated manner. The effectiveness of a change management process can be measured by how well it reduces the risks and costs associated with changes, and how well it supports the business objectives and customer expectations. One of the best metrics to demonstrate the effectiveness of a change management process is the percent of unauthorized changes. Unauthorized changes are changes that are made without following the established change management process, such as obtaining approval, documenting the change, testing the change, and communicating the change. Unauthorized changes can introduce errors, defects, security breaches, and disruptions to the IT systems and services, and can negatively affect the business performance and customer satisfaction. Therefore, a low percent of unauthorized changes indicates that the change management process is effective in ensuring that changes are properly planned, approved, executed, and monitored. The other options are not the best metrics to demonstrate the effectiveness of a change management process, as they do not directly reflect the quality and control of the changes. An increase in the frequency of changes may indicate that the organization is agile and responsive to the changing business needs and customer demands, but it does not necessarily mean that the changes are well-managed and beneficial. An increase in the number of emergency changes may indicate that the organization is able to handle urgent and critical situations, but it may also suggest that the organization is reactive and lacks proper planning and analysis of the changes. The average time to complete changes may indicate the efficiency and speed of the change management process, but it does not measure the effectiveness and value of the changes. References = CRISC Review Manual, pages 156-1571; CRISC Review Questions, Answers & Explanations Manual, page 712