According to the CRISC Review Manual, notifying network administrators before testing is the best mitigating control to reduce the risk introduced when conducting penetration tests, because it helps to avoid any disruption or damage to the network services and systems. Penetration testing is a technique that simulates an attack on the network to identify and exploit the vulnerabilities and weaknesses. Notifying network administrators before testing allows them to prepare for the test, monitor the test activities, and respond to any incidents or issues that may arise during the test. The other options are not the best mitigating controls, because they do not address the risk of network disruption or damage. Requiring the vendor to sign a nondisclosure agreement is a legal measure that protects the confidentiality of the network information, but it does not prevent the vendor from causing any harm to the network. Clearly defining the project scope is a planning activity that sets the boundaries and objectives of the test, but it does not ensure the safety and availability of the network. Performing background checks on the vendor is a due diligence activity that verifies the vendor's credentials and reputation, but it does not guarantee the vendor's performance or behavior. References = CRISC Review Manual, 7th Edition, Chapter 4, Section 4.2.2, page 181.

* リスクしきい値を超えるイベントとは、組織のリスク許容度、基準、および目標12 によって定義された、許容可能なリスク レベルを実際のリスク レベルが超える結果となる状況または出来事です。
* ビジネスオペレーションマネージャーがリスクしきい値を超えるイベントを識別できるようにする最も効果的な方法は、継続的な監視を実装することです。これは、ビジネスプロセス、システム、および制御のパフォーマンスとステータスに関するデータと情報を収集して分析し、リスクイベントを示す可能性のある逸脱、異常、または問題を検出して報告するプロセスです34。
* 継続的な監視は、リスクの状況に関するタイムリーで正確な可視性と洞察を提供し、リスクしきい値を超えるイベントが拡大したり組織に重大な危害や損害を与えたりする前に、ビジネスオペレーションマネージャーがイベントを特定して対応できるようにするため、最も効果的な方法です34。
* 継続的な監視は、組織の目標達成と利害関係者への価値提供に影響を与える可能性のあるリスクを特定して対処するというリスク管理プロセスと目標をサポートするため、最も効果的な方法でもあります34。
* その他のオプションは最も効果的な方法ではありませんが、継続的な監視を補完または強化できる可能性のあるツールまたはテクニックです。例:
* 統制自己評価とは、ビジネス プロセスの所有者とオペレーターを関与させ、権限を与えて、リスクを軽減するために設計および実装された統制の有効性と効率性を評価し、報告する手法です56。ただし、この手法は継続的ではなく定期的であるため、最も効果的な方法ではなく、リスクしきい値を超えるイベントをタイムリーにまたは一貫して捕捉または伝達できない可能性があります56。
* トランザクション ログは、ビジネス プロセスまたはシステムによって実行されるトランザクションまたはアクティビティの詳細と履歴を記録および保存し、検証または調査の目的で監査証跡を提供するツールです78。ただし、このツールはアクティブではなくパッシブであるため、最も効果的な方法ではありません。また、リスクしきい値を超えるイベントは、分析またはクエリが実行されない限り、検出または報告されない可能性があります78。
* 同業他社とのベンチマーキングとは、ビジネスプロセスやシステムのパフォーマンスや実践を、同じ業界または関連業界の類似または先進的な組織のものと比較対照し、ギャップや改善の機会を特定する手法です。ただし、この手法は内部ではなく外部であり、組織の特定のリスク選好、基準、および目標を反映したり、一致したりしない可能性があるため、最も効果的な方法ではありません。参考文献
* 1: リスク IT フレームワーク、ISACA、2009 年
* 2: ITリスク管理フレームワーク、トロント大学、2017年
* 3: 継続的なモニタリング - ISACA1
* 4: 継続的な監視: リスク管理への新しいアプローチ - ISACA Journal2
* 5: リスクとコントロールの自己評価 - KPMG Global3
* 6: 自己評価の管理 - PwC4
* 7: トランザクションログ - Wikipedia5
* 8: トランザクション ログ - IBM6
* : ベンチマーク - Wikipedia7
* : ベンチマーキング: 定義、種類、プロセス、利点、例

重要なシステムにパッチを適用できない欠陥を発見した場合、リスク担当者が最初にとるべき行動は、リスク評価を実施することです。リスク評価とは、システムまたは組織の目標達成に影響を与える可能性のあるリスクを特定、分析、評価するプロセスです。リスク評価は、リスクにさらされるレベルと性質を判断し、リスクに優先順位を付けて対応するのに役立ちます。リスク評価の実施は、欠陥の原因、原因、影響を理解し、欠陥を悪用する可能性のあるリスク イベントの可能性と結果を予測するのに役立つため、最初の行動です。リスク評価の実施は、欠陥に対処できる既存または潜在的な制御または緩和策を特定して評価し、適切なリスク処理オプションを推奨するのにも役立ちます。内部監査に問題を報告し、変更管理に要求を提出し、ビジネス影響評価を確認することは、リスク評価プロセスの出力または入力のいずれかであり、リスクの状況とステータスを評価するという主要なニーズに対応していないため、最初の行動方針ではありません。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、49 ページ。