セキュリティ コントロールを選択するための主な基準は、リスクを軽減する能力です。これは、コントロールがリスクの発生や影響をどの程度防止または軽減できるか、また、コントロールがシステムとデータに対して必要なレベルのセキュリティと保護をどの程度効果的に達成できるかを測る基準だからです。リスクを軽減する能力は、コントロールの目的と価値に直接関係するため、セキュリティ コントロールを選択するための最も重要な基準です。その他のオプションは、次の理由から主な基準ではありません。
* オプション A: 望ましい成熟度レベルを達成することは、セキュリティ制御を選択する際の目標ですが、主な根拠ではありません。望ましい成熟度レベルとは、セキュリティ制御の品質、一貫性、信頼性を反映した状態または条件であり、組織のセキュリティ目標および標準と整合している必要があります。望ましい成熟度レベルは、セキュリティ制御を選択した結果であり、選択理由ではありません。
* オプション B: リスクの重要性はセキュリティ制御を選択する際の要素ですが、主な基準ではありません。
リスクの重要性は、組織のパフォーマンス、評判、価値に影響を与えるリスクの程度または範囲であり、セキュリティ制御を選択する際に考慮する必要がありますが、唯一の要素または最も重要な要素ではありません。リスクの重要性は、セキュリティ制御を選択するための入力であり、セキュリティ制御を選択することによる出力ではありません。
* オプション D: 制御のコストは、セキュリティ制御を選択する際の制約ではありますが、主な根拠ではありません。制御のコストは、制御を実装および維持するために必要なリソースと支出の量であり、制御の利点と有効性とのバランスを取る必要がありますが、唯一の制約でも最も重要な制約でもありません。制御のコストは、セキュリティ制御を選択する際の制限であり、選択の動機ではありません。参考文献 = リスクおよび情報システム制御研究マニュアル、第 7 版、ISACA、2020 年、p. 211。

セクション: ボリューム D

費用便益分析は、ソフトウェアの更新や耐用年数の終了したソフトウェアの継続使用など、さまざまな選択肢の費用と便益を比較するツールです。費用便益分析は、各オプションの潜在的な節約、便益、リスクを示し、意思決定者が最善の行動方針を選択するのに役立つため、更新されたソフトウェアへの投資を正当化する最も役立つ情報を提供できます。費用便益分析には、セキュリティ、コンプライアンス、パフォーマンス、顧客満足度など、ソフトウェアの更新によって影響を受ける可能性のある定性的な要因も含めることができます。参考資料 = ISACA リスクおよび情報システム制御認定 (CRISC) 認定試験の質問と回答、質問 231。CRISC by Isaca 実際の無料試験の質問と回答、質問 8。CRISC: リスクおよび情報システム制御認定のサンプル質問、質問
231. CRISC リスクおよび情報システム制御認定 - 質問 231。