セクション: ボリューム D

軽減された関連脅威の割合は、侵入防止システム (IPS) の有効性を判断するための最良の主要管理指標 (KCI) です。これは、IPS が不正アクセスや攻撃を防止するという本来の機能をどの程度うまく実行しているかを測定するためです。システム稼働率の割合は、IPS の品質や精度を反映していないため、適切な KCI ではありません。識別された脅威の総数は、それらの脅威のうち実際に IPS によってどれだけの数を防止できたかを示していないため、適切な KCI ではありません。脅威に対するシステムの反応時間は、IPS によって防止できた、または防止できなかった脅威の影響や重大度を測定していないため、適切な KCI ではありません。参考資料 = CRISC: Certified in Risk & Information Systems Control サンプル問題 2

企業の IT リスク許容度を決定する主な責任を負う利害関係者は、経営幹部と取締役会です。なぜなら、彼らは企業の戦略的な方向性と目標を設定し、それらの目標を達成するためのリスクの許容レベルと許容範囲を定義するからです。その他の選択肢は、次の理由から主要な利害関係者ではありません。
* オプション A: 監査およびコンプライアンス管理は、リスク管理プロセスの有効性と内部および外部の要件への準拠について保証と監視を行う責任がありますが、企業の IT リスク許容度を決定するものではありません。
* オプション B: CIO と CFO はそれぞれ企業の IT リソースと財務リソースの管理を担当しますが、企業の IT リスク許容度を決定することはありません。
* オプション C: エンタープライズ リスク管理とビジネス プロセスの所有者は、自分の領域に影響を及ぼすリスクを特定、評価、対応する責任がありますが、エンタープライズ IT リスク許容度を決定することはありません。参考文献 = リスクおよび情報システム制御学習マニュアル、第 7 版、ISACA、2020 年、83 ページ。

取締役会が定期的にリスク プロファイルを見直す主な目的は、リスク戦略が適切であることを確認することです。リスク戦略は、企業のリスク選好度、許容度、目標を定義し、リスク管理プロセスと活動を導くためです。取締役会は、リスク プロファイルを見直すべきであり、それが現在の内部および外部環境を反映し、企業の戦略と目標と一致していることを確認する必要があります。その他のオプションは、次の理由により、主な目的ではありません。
* オプションB：KRIとKPIが整合していることはリスク戦略の望ましい結果ですが、リスクプロファイルを検討する取締役会の主な目的ではありません。KRIとKPIは、それぞれ企業のリスクエクスポージャーとパフォーマンスを測定および監視する指標であり、
* リスク戦略および目標と一致していること。
* オプション C: 統制のパフォーマンスが適切であることはリスク対応の結果ですが、リスク プロファイルを確認する取締役会の主な目的ではありません。統制のパフォーマンスとは、リスクを軽減する上で統制がどの程度効果的かつ効率的であるかを示すものであり、リスク管理機能と内部監査機能によって評価および報告される必要があります。
* オプション D: リスク監視プロセスが確立されていることは、リスク プロファイルの前提条件ですが、リスク プロファイルを確認する取締役会の主な目的ではありません。リスク監視プロセスは、リスクの状態とパフォーマンスを追跡して報告するプロセスであり、リスク管理機能とビジネス プロセス所有者によって実装および実行される必要があります。参考文献 = リスクおよび情報システム制御学習マニュアル、第 7 版、ISACA、2020 年、p. 119。