説明/参照:
Explanation:
リスクの監視と制御は、新しいリスクを特定し、変化した可能性のあるリスクの状態を判断し、プロジェクト内でどのリスクが古くなっている可能性があるかを判断する責任があります。
誤った回答:
A: リスク計画では、リスク管理計画を作成し、リスクの特定、分析、監視、制御、および対応の方法を決定します。
C: リスク識別は、プロジェクト内のリスクイベントを識別するプロセスです。
D: リスク分析は、リスク イベントの重大度、リスクの優先度、リスクの発生確率と影響を判断するのに役立ちます。

セクション: ボリューム D

可用性要件は、期待されるサービス レベルと、準拠しなかった場合の結果を指定します。これらは、SaaS プロバイダーが顧客のビジネス継続性と災害復旧のニーズを満たすことができるようにするために不可欠です。これらを契約に明記することで、両当事者を保護する明確で強制力のある契約が作成されます。
参考文献
*ISACA CRISC レビューマニュアル、第 7 版、ドメイン 3: リスク対応、セクション 3.2.3: 事業継続と災害復旧
*SaaS および PaaS アプリケーションの災害復旧計画の完了に関するガイドライン (Yale-MSS-3.1 GD.02)
*SaaS 災害復旧計画の構築方法 | Acsense

* 内部告発プログラム:
* 定義: 内部告発プログラムにより、従業員は組織内の非倫理的または違法な活動を匿名で報告できます。
* 倫理違反の検出: 多くの場合、従業員は非倫理的な行為を観察するのに最適な立場にあります。適切に構成された内部告発プログラムは、報復を恐れることなくそのような行為を報告するよう従業員を奨励します。
* 匿名性と保護: 内部告発者に匿名性と保護を提供することで、従業員が違反を報告する可能性が高まり、組織が倫理的問題をより効果的に検出して対処できるようになります。
* 他のオプションとの比較:
* トランザクション ログの監視: 異常や潜在的な不正行為を検出するのに役立ちますが、倫理違反に特に焦点を当てているわけではなく、すべての種類の非倫理的行為を捕捉できるとは限りません。
* アクセス制御証明: これにより、ユーザーが適切なアクセス権限を持っていることが保証されますが、非倫理的な動作を直接検出するものではありません。
* 定期的なジョブローテーション: 共謀のリスクを軽減し、プロセスに対する新たな視点を提供することで不正行為を防止するのに役立ちますが、倫理違反を直接検出するものではありません。
* ベストプラクティス:
* 明確な報告チャネル: 内部告発プログラムに明確でアクセスしやすい報告チャネルがあることを確認します。
* トレーニングと意識向上: 非倫理的な行為を報告することの重要性と内部告発プログラムによって提供される保護について、従業員を定期的にトレーニングします。
* フォローアップとアクション: 報告が徹底的に調査され、検証された違反に対処するための適切な措置が講じられていることを確認します。
参考文献:
* CRISC レビュー マニュアル: 組織内の倫理違反を検出して対処する上での倫理的行動の重要性と内部告発プログラムの役割を強調します。
* ISACA ガイドライン: 包括的なリスク管理と倫理的ガバナンス フレームワークの主要コンポーネントとして内部告発プログラムの実装をサポートします。