主要管理指標 (KCI) は、リスクを軽減する管理の有効性を測定する指標です。脆弱性管理プログラムに適した KCI は、プログラムが高リスクの脆弱性への露出をどの程度削減しているかを反映している必要があります。対処された高リスクの脆弱性の割合は、定義された期間内に修復または軽減された特定された高リスクの脆弱性の割合を示す KCI です。この KCI は、脆弱性管理プログラムの進捗状況とパフォーマンスを監視し、改善すべき領域を特定するのに役立ちます。
その他のオプションは、コントロールの有効性を測定しないため、脆弱性管理プログラムに最適な KCI ではありません。見逃された高リスクの脆弱性の割合は、脆弱性スキャン プロセスの完全性の尺度であり、コントロールの尺度ではありません。未解決の高リスクの脆弱性の数は、現在のリスク露出の尺度であり、コントロールの尺度ではありません。高リスクの脆弱性に定義されたしきい値は、リスク選好度の尺度であり、コントロールの尺度ではありません。参考文献 = リスクおよび情報システム コントロール スタディ マニュアル、第 7 版、第 3 章: IT リスク評価、セクション 3.4: リスク指標、p. 133-134。

セクション: ボリューム D

資産階層化モデルを実装して適切な影響レベルを確立するには、定量的なリスク評価方法が最適です。このアプローチでは、リスク レベルに数値が与えられ、資産を正確に階層化するために不可欠です。
* 定量的リスク評価:
* 数値: 定量的手法では、確率と影響度に数値を割り当てます。
* リスク。リスク レベルを正確に計算できます。この精度は、影響レベルに基づいて資産の階層を確立する際に不可欠です。
* データに基づく意思決定: これらの方法では、統計データとモデルを使用して潜在的な損失とさまざまなリスクイベントの発生確率を予測し、より情報に基づいた意思決定を可能にします。
* 資産階層化モデル:
* 影響評価: 定量的な方法により、詳細な影響評価が可能になります。数値を使用すると、さまざまな資産の潜在的な影響を比較し、適切な階層に分類することが容易になります。
* リソースの割り当て: 正確なリスク計算は、リソースの効果的な割り当てに役立ちます。
上位層の資産（影響度が高い資産）には、保護のためにより多くのリソースを割り当てることができます。
* 参考文献:
* CRISC レビューマニュアルによると、定量的リスク評価方法は、リスクを明確な数値で表現するため、正確な影響評価と詳細な分析が必要な状況に適しています。

リスク選好度とは、組織が目的達成のために受け入れるリスクの量と種類です。リスク選好度は、組織のリスク許容度、好み、期待を反映し、リスク対応戦略​​の選択と実装の指針となるため、リスク対応の決定を促進するための最も重要な情報を提供します。リスク選好度は、組織がリスクを取ることによる潜在的な利益とコストのバランスを取り、リスク管理プロセスを組織の戦略と文化に合わせるのに役立ちます。その他のオプションは、組織が望むリスク露出レベルを示すものではなく、以下で説明するように、リスク対応の決定のための補足情報または部分的な情報を提供するため、リスク選好度ほど重要ではありません。
* A. 監査結果とは、組織のガバナンス、リスク管理、および制御プロセスの有効性と効率性を評価する内部または外部監査活動の結果と推奨事項です。監査結果は、現在のリスク対応戦略​​のギャップや弱点を特定し、是正措置や改善を提案できるため、リスク対応の決定を容易にするのに役立つ情報を提供します。ただし、監査結果は、最適なリスク対応戦略​​を決定するための基礎となる組織のリスク許容度を示すものではありません。
* C. 主要リスク指標 (KRI) は、リスクの影響と可能性を測定し、リスク エクスポージャーの変化の早期警告サインを提供する指標です。KRI は、現在のリスク対応戦略​​のパフォーマンスと有効性を監視および報告し、是正措置や調整を開始できるため、リスク対応の決定を容易にする有用な情報を提供します。
ただし、KRI は、リスクの露出とパフォーマンスの許容レベルを決定する基礎となる組織のリスク許容度を示すものではありません。
* D. 業界のベスト プラクティスとは、同じ業界またはセクターの同業他社や競合会社が確立し、従っているリスク管理の標準、規範、期待のことです。業界のベスト プラクティスは、組織のリスク対応戦略​​をトップまたは成功している組織のリスク対応戦略​​とベンチマークして比較し、改善や革新の領域を特定できるため、リスク対応の決定を容易にするのに役立つ情報を提供します。ただし、業界のベスト プラクティスは、組織のニーズと目標に合った独自のカスタマイズされたリスク対応戦略​​を決定する基礎となる組織のリスク アペタイトを示しません。参考文献 = リスクおよび情報システム管理学習マニュアル、第 2 章、セクション 2.2.2、40 ページ。リスク アペタイト: その意味と使用方法、リスク アペタイト: どのくらいハングリーですか?、リスク アペタイト: 戦略的バランス調整