主要リスク指標 (KRI) は、組織が業務、目標、またはパフォーマンスに影響を与える可能性のある潜在的なリスクを監視および評価するのに役立つ指標です。優れた KRI には、リスク管理に効果的となる特定の特性が必要です。これらの特性の 1 つは再現性です。再現性は、KRI を時間の経過やさまざまな状況にわたって一貫して測定できることを意味します。再現可能な KRI により、リスク データが信頼性が高く、比較可能で、有意義であり、リスクの傾向とパターンを特定して分析できることが保証されます。再現可能な KRI は、リスク レベルとステータスに関するタイムリーで正確な情報を提供することで、意思決定プロセスもサポートします。したがって、再現性は KRI の最も重要な属性です。参考文献 = Risk IT Framework、ISACA、2022、p. 441

セクション: 巻 B
説明/参照:
Explanation:
FISMA の検査は毎年行う必要があります。毎年、機関はプログラムの独立した評価を行う必要があります。その目的は、プログラムの有効性を判断することです。これらの評価には次のものが含まれます。
* 有効性のテスト: ポリシー、手順、および実践をテストします。この評価では、すべてのポリシー、手順、および実践をテストするわけではありません。代わりに、代表的なサンプルをテストします。
* 評価またはレポート: このレポートでは、機関のコンプライアンスが特定され、FISMA へのコンプライアンスがリストされます。また、他の標準やガイドラインへのコンプライアンスもリストされます。
誤った回答:
B、C、D: 外部組織によるコンプライアンスの監査は、四半期ごとまたは 3 年ごとではなく、毎年行われます。

A と D は不正解です。侵入検知システム、アクセス制御、暗号化は、コンピュータのハードウェア、ソフトウェア、またはファームウェアに組み込まれた安全対策であるため、技術的制御と呼ばれます。

セクション: 巻 B
Explanation:
不可抗力とは、竜巻や火災などの天災（自然災害）のことを指し、これらのリスクを軽減するためにできることはほとんどないため、通常は受け入れられます。
誤った回答:
B: 移転とは、通常は手数料を支払ってリスクの所有権を第三者に移転することです。
C: Enhance は、不可抗力ではなく、肯定的なリスク イベントに使用されます。
D: 軽減策はリスクイベントの発生確率や影響を低下させるため、最善の選択ではありません。