* 内部データ アクセス ポリシーは、データの分類、機密性、所有権に基づいて、ビジネス アプリケーション システムに保存されているデータにユーザーが誰が、どのように、いつ、なぜアクセスし、使用、共有、または変更できるかを定義する一連のルールとガイドラインです。
* 社内データ アクセス ポリシーの実施は、ビジネス アプリケーション システムに保存されている機密情報の不正取得を防止するための最も適切な方法です。つまり、組織は、承認されたユーザーのみが機密情報にアクセスできるようにするための効果的な制御を実装および維持し、コンプライアンスとセキュリティの目的でアクセスが記録および監視されることを意味します。
* その他のオプションは、ビジネス アプリケーション システムに保存されている機密情報の不正取得を防止するための最適な方法ではありません。これらは、データ アクセス制御にとって二次的なものであるか、必須ではありません。
この回答の参考文献は次のとおりです。
* リスクITフレームワーク、28ページ
* 情報技術とセキュリティ、22ページ
* リスクシナリオスターターパック、20ページ

マネージド セキュリティ サービス プロバイダー (MSSP) は、ファイアウォールの運用、管理、監視、保守などのネットワーク セキュリティ サービスを組織に提供するサード パーティ エンティティです1。ファイアウォールは、定義済みのルールに基づいて受信および送信ネットワーク トラフィックを制御するデバイスまたはソフトウェアです2。ファイアウォール管理者は、ファイアウォールの構成、ルール、ポリシーを管理および維持する個人またはエンティティです3。組織が MSSP をファイアウォール管理者として使用する場合、最大の懸念はログ データの漏洩です。ログ データには、送信元と送信先の IP アドレス、ポート、プロトコル、タイムスタンプ、ユーザー ID など、組織のネットワーク アクティビティに関する機密性の高い貴重な情報が含まれているためです4。ログ データが MSSP によって適切に保護されていない場合、ハッカー、競合他社、規制当局などの権限のない関係者によってアクセス、変更、または盗難される可能性があり、その結果、データ漏洩、コンプライアンス違反、評判の低下、または組織の法的責任が発生する可能性があります5。その他のオプションは、組織のデータ セキュリティとプライバシーに直接的かつ即時の脅威を与えるものではなく、以下で説明するようにファイアウォール管理の品質と効率に影響を与えるため、ログ データの公開ほど懸念されるものではありません。
* B. 組織がファイアウォール管理者として MSSP を使用する場合、ガバナンスの欠如が懸念事項となります。これは、組織と MSSP のファイアウォール管理の目的、ポリシー、標準の間に不一致や矛盾が生じる可能性があるためです。ただし、この懸念は、ファイアウォール管理サービスの役割、責任、期待、パフォーマンス指標を定義する明確で包括的なサービス レベル契約 (SLA) を MSSP と締結することで軽減できます6。
* C. 組織がファイアウォール管理者として MSSP を使用する場合、ファイアウォール ルールの数が増えると、ファイアウォール構成が複雑になり、混乱が生じたり、重複したりして、ファイアウォールのパフォーマンスとセキュリティに影響する可能性があるため、懸念事項となります。ただし、この懸念事項は、MSSP と定期的にファイアウォールの監査とレビューを実施することで軽減できます。これにより、ファイアウォール ルールを合理化、最適化、更新し、組織のネットワーク環境にとって適切で効果的かつ効率的なルールにすることができます。
* D. 組織がファイアウォール管理者として MSSP を使用する場合、合意された標準がないことは懸念事項です。ファイアウォールの設計と実装にギャップや弱点が生じ、ファイアウォールの機能とセキュリティが損なわれる可能性があるためです。ただし、この懸念は、米国国立標準技術研究所 (NIST) のガイドライン、インターネット セキュリティ センター (CIS) のベンチマーク、またはペイメント カード業界データ セキュリティ標準 (PCI DSS) の要件など、ファイアウォール管理に関する業界のベスト プラクティス、規範、期待を採用して従うことで軽減できます。参考文献 = リスクおよび情報システム制御学習マニュアル、第 4 章、セクション 4.2.1、115 ページ。マネージド セキュリティ サービス プロバイダー (MSSP) とは何ですか? - Fortinet、ファイアウォールとは何ですか? - Techopedia の定義、ファイアウォール管理者の職務内容 - Betterteam、ファイアウォール ログとは何ですか? - Techopedia の定義、ファイアウォール ログ管理: 重要性と適切な実施方法、MSSP 向けサービス レベル契約 (SLA) の作成方法、[ファイアウォール監査: セキュリティとコンプライアンスのベスト プラクティス]、[ファイアウォールとファイアウォール ポリシーに関するガイドライン | CSRC]、[CIS ファイアウォール ベンチマーク - CIS]、[PCI DSS とファイアウォール - PCI セキュリティ標準協議会]

セクション: 巻 C
説明/参照:
Explanation:
割り当てられたベースラインは、承認された要件を満たす仕様を識別します。
誤った回答:
A: 機能ベースラインは、変更が行われる前の初期仕様を識別します。
C: 製品ベースラインは、ビジネス成果を達成するためにリソースに必要な最小限の仕様を識別します。
D: 開発ベースラインは、期待と要件を満たすかそれを超えるように開発されたリソースの状態を識別します。

セクション: ボリューム D

リスク戦略とは、組織がリスクを管理し、目標を達成するために採用する計画と行動です。リスク戦略は、組織のビジョン、使命、価値観、文化、および内部環境と外部環境と整合している必要があります。リスク戦略を策定する際に最も重要な考慮事項は、組織の長期目標です。つまり、リスク戦略は、組織が望ましい将来の状態と結果を追求し、達成できるようにサポートする必要があります。組織の長期目標は、リスクの特定、評価、対応、監視プロセス、およびリスク選好度と許容レベルを導く必要があります。組織の長期目標は、すべての利害関係者のリスク認識と関与を確実にするために、組織全体に伝達され、階層化される必要があります。参考文献 = リスクおよび情報システム制御研究マニュアル、第 1 章、セクション 1.3.2、p. 27-28