は誤りです。リスクマネジメント計画は、プロジェクトマネジメントにおけるリスクマネジメント、リスクの特定、分析、対応、そしてリスク管理へのアプローチを規定します。解答：Cは誤りです。リスク対応計画は、リスク登録簿に記載されているリスク事象に対する計画されたリスク対応のみを規定します。解答：Bは誤りです。プロジェクトマネジメント計画は、プロジェクト全体にわたる計画であり、リスク対応とリスクの特定に関する具体的な内容ではありません。

リスク所有者には、リスクとそれに関連する制御を管理し、リスクの状態とパフォーマンスを報告する権限と責任があるため、リスク レベルの監視の責任を割り当てる必要があります。
リスク管理担当者、事業管理者、統制責任者は、リスクの特定、評価、対応、報告に関する役割と責任がそれぞれ異なるため、最適な選択肢とは言えません。しかし、リスクとその監視については責任を負わないからです。参考文献 = CRISCレビューマニュアル、第7版、ページ
101.

セキュリティ管理の例外のリスク受容の最も正当な理由は、企業が
利益が損失リスクを上回る。リスク受容とは、リスクを認識することを含むリスク対応戦略である。
リスクを軽減または移転するための措置を講じることなく、リスクを容認する。証券取引の例外は、
制御とは、有効な理由により、確立されたセキュリティポリシーまたは標準からの逸脱または不遵守である。
ビジネス上の理由または状況。セキュリティ管理の例外をリスク許容することは、次のような場合に正当化される可能性がある。
ビジネス上の利益が損失リスクを上回っている場合、例外の価値または利点は
リスクの潜在的なコストや損害を上回る。例えば、セキュリティ管理の例外により、
システムやデータへのアクセスが速くなり、従業員の生産性、効率、満足度が向上する可能性がある。
ユーザーや顧客を獲得し、ビジネスにさらなる収益や利益をもたらします。
例外はリスクの損失エクスポージャーを超える可能性があり、その損失は低いか無視できる程度か、または軽減できる可能性がある。
他の管理策や要因を考慮する必要がある。したがって、セキュリティ管理策の例外をリスクとして受け入れることは合理的である可能性がある。
例外とリスクの費用便益分析に基づいた合理的な意思決定。自動化は不可能である。
コントロールに適用されたが、エンドユーザーライセンス契約の有効期限が切れており、コントロールを強制することが困難である。
実践は、セキュリティ管理の例外のリスク受容の最も可能性の高い正当化ではない。
関連性がない、または不十分な理由であり、ビジネス上の利益や損失の危険性を考慮していない
例外とリスク。参考文献：CRISCレビューマニュアル、第6版、ISACA、2015年、50ページ。

* 職場でのウェアラブル技術に関連するセキュリティリスクとは、従業員が着用または使用するスマートウォッチ、フィットネストラッカー、メガネなどのウェアラブルデバイスによって収集、保存、または送信されるデータまたは情報への不正アクセス、開示、または使用の可能性と影響です12。
* 職場でのウェアラブル技術に関連するセキュリティリスクを管理する最初のステップは、潜在的なリスクを特定することです。これは、リスクの発生源、原因、結果、および組織の目標、パフォーマンス、価値創造への潜在的な影響を認識し、説明するプロセスです34。
* 潜在的なリスクを特定することは、リスクの評価、処理、監視、伝達など、リスク管理プロセスの後続のステップの基礎と入力を提供するため、最初のステップです34。
* 潜在的なリスクを特定することは、組織がリスクを理解して優先順位を付け、リスク管理プロセスに適切なリソースと制御を割り当てることができるため、最初のステップでもあります34。
* その他のオプションは最初のステップではなく、状況に応じて、または状況に応じて、可能な後続のステップです。
* 潜在的リスクの特定に従ってください。例：
* 従業員の使用状況の監視は、従業員がウェアラブルデバイスを使用する頻度、期間、目的に関するデータと情報を収集・分析し、セキュリティリスクを示唆する可能性のある逸脱、異常、または問題を検知・報告するステップです5 。ただし、このステップは最初のステップではありません。監視プロセスのガイダンスと基準を提供するためには、潜在的なリスクを特定する必要があるためです5 。
* 潜在的リスクの評価は、リスクの発生可能性と影響、そして組織のリスクへの曝露レベルまたはリスク許容度を推定・評価するステップです34。しかし、このステップは、評価プロセスに必要な情報とデータを提供するために潜在的リスクを特定する必要があるため、最初のステップではありません34。
* リスク認識トレーニングの開発は、ウェアラブル技術に関連するセキュリティリスクとベストプラクティスについて従業員やその他の関係者に教育・訓練を行い、リスク管理プロセスにおける役割、義務、責任を周知させるステップです。ただし、このステップは最初のステップではありません。トレーニングプロセスの内容と目標を定めるには、潜在的なリスクを特定する必要があるためです。参考文献
* 1: 職場におけるウェアラブルデバイス：セキュリティ上の脅威と保護1
* 2: ウェアラブルの10のセキュリティリスク | CSO Online2
*3: IT リスク フレームワーク、ISACA、2009 年
* 4: ITリスク管理フレームワーク、トロント大学、2017年
* 5: 継続的な監視 - ISACA3
* : 継続的な監視：リスク管理への新しいアプローチ - ISACAジャーナル4
* : セキュリティ意識向上トレーニングとは何か、そしてなぜ重要なのか？ - Kaspersky5
* : セキュリティ意識向上トレーニング - オンラインサイバーセキュリティ教育 | Proofpoint US