セクション: ボリューム D

CRISC レビュー マニュアルによると、エンタープライズ アーキテクチャ (EA) は、ビジネス プロセス、情報システム、テクノロジ インフラストラクチャ、組織構造、戦略目標など、組織の構造と運用を定義する包括的なフレームワークです2。EA プログラムは、EA の開発と実装を管理する一連の原則、ポリシー、標準、ガイドラインです3。承認された EA プログラムを導入することで、組織はリスク管理が目標と目的に合致していることを確認できます。EA は、組織の望ましい状態と方向性に関する明確で一貫したビジョンと、それを達成および測定する手段を提供するからです4。EA は、組織のパフォーマンスと回復力に影響を与える可能性のあるリスクと機会を特定し、優先順位を付けるのに役立ちます。その他のオプションは、リスク管理と組織の目標および目的の整合に直接関係しないため、オプション D ほど効果的でも関連性もありません。運用上の境界を提供する承認済みポリシーを持つオプション A は、リスク管理のガバナンスとコンプライアンスに関係しており、整合には関係していません。オプション B は、リスク許容度を管理するための組織的制御を備えており、リスク管理の実施と監視に関連しており、リスク管理の整合には関連していません。オプション C は、リスクに影響を与える環境の変化を継続的に評価しており、リスク管理の整合には関連していません。

個人情報の潜在的な盗難は、クライアント データベース サーバーへの不正ログインを検出した組織にとって最大の懸念事項です。これは、クライアント データの機密性、整合性、可用性、および組織の評判と信頼に重大な脅威をもたらすためです。個人情報の潜在的な盗難とは、ハッカー、競合他社、内部関係者などの悪意のある人物によるクライアント データの不正アクセス、開示、または使用を伴うシナリオです。個人情報の潜在的な盗難は、組織とそのクライアントに次のような重大な影響と結果をもたらす可能性があります。
* クライアント データのプライバシーとセキュリティが侵害され、クライアントが個人情報の盗難、詐欺、恐喝の被害に遭う可能性があります。
* 一般データ保護規則 (GDPR)、医療保険の携行性と責任に関する法律 (HIPAA)、またはペイメント カード業界データ セキュリティ基準 (PCI DSS) などの組織の法的義務や規制要件に違反し、罰金、罰則、または訴訟の対象となる可能性があります。
* 組織の評判と信頼性を損ない、顧客の信頼と忠誠心を損ない、ビジネスや市場シェアの喪失につながる可能性があります。
他のオプションは、クライアント データベース サーバーへの不正ログインを検出した組織にとって、最大の懸念事項ではありません。不正ログインにより、規制当局による監査、調査、または制裁が発動される可能性があるため、規制当局の監視が強化される可能性がありますが、最も重大または差し迫った懸念事項ではありません。不正ログインにより、システム ダウンタイムが発生する可能性もありますが、データベース サーバーまたはそれらに依存するアプリケーションのパフォーマンスまたは可用性が損なわれたり低下したりする可能性があるため、システムのダウンタイムが発生する可能性もありますが、最も深刻または長期的な懸念事項ではありません。不正ログインにより、法的リスクが発生する可能性もありますが、影響を受けるクライアントまたは関係者による訴訟や賠償請求の対象となる可能性があるため、法的リスクが発生する可能性もありますが、最も直接的または差し迫った懸念事項ではありません。参考資料 = データ侵害対応: ビジネス向けガイド - 連邦取引委員会、IT リスク リソース | ISACA、データベースへの不正アクセスを防止する方法 - ScaleGrid

D、IT戦略計画のロードマップ