データ保護管理計画とは、組織が機密データを不正アクセス、不正使用、開示、または紛失からどのように保護するかを概説した文書です。データ保護管理計画には、以下の要素を含める必要があります1。
データ保護管理計画の範囲と目的、およびそれが組織のデータ保護ポリシーと戦略とどのように整合しているか データ保護チームとその他の利害関係者の役割と責任、およびそれらの連絡と調整の方法 組織が直面するデータ保護のリスクと脅威、およびそれらの評価と優先順位付けの方法 組織が実装および維持するデータ保護の制御と対策、およびそれらの監視と評価の方法 組織が遭遇する可能性のあるデータ保護のインシデントと違反、およびそれらの報告と解決方法 組織が提供および実施するデータ保護のトレーニングと意識向上プログラム、およびそれらの測定と改善の方法 データ保護管理計画を策定する際に行うべき最初のステップは、重要なデータを特定することです。これは、組織が次のことを行う必要があることを意味します。
個人データ、秘密データ、規制対象データなど、組織内の機密データを構成するものを定義します。組織が収集、処理、保存、または転送する機密データを識別して分類し、適切なラベルまたはタグを割り当てます。組織とその関係者にとっての機密データの価値と重要性、およびデータの損失や侵害の潜在的な影響または結果を判断します。組織内およびパートナーやベンダー全体にわたる機密データのデータフローと場所をマップし、データライフサイクルのステージとアクティビティを文書化します。重要なデータを識別すると、組織は次のことが可能になります。
データ保護の範囲と目的について明確かつ一貫した理解を確立し、それらが関連性があり現実的であることを確認します。データ保護のリスク評価と制御の実装をサポートできる包括的かつ正確なデータインベントリを提供します。組織とその利害関係者のデータ保護のニーズと要件を特定して優先順位を付け、データ保護の法律と標準に準拠します。データ保護の状態とパフォーマンスを利害関係者と規制当局に伝達および報告し、透明性と説明責任を確保します。参考資料 = データ保護管理プログラムの開発ガイド

コンプライアンスベースのCSAは、事業部門がポリシーと手順に従うことを確実にすることに重点を置いています。
実際のリスク レベルやコントロールの影響に関係なく、企業によって確立されます。
リスクベースのCSAは、事業部門に影響を与える可能性のあるリスクを特定し評価することに重点を置いています。
目的を設定し、それらのリスクを軽減するために適切な制御を設計および実装します。
コンプライアンスベースのCSAでは、特に次のような場合には、事業部門に存在するすべての高リスクの問題を捕捉できない可能性があります。
企業の標準や期待と一致していない。
リスクベースのCSAでは、コンプライアンスベースのCSAよりも、よりリスクの高い問題が特定される可能性がある。
ビジネス ユニットのパフォーマンスやセキュリティに影響を及ぼす可能性のある内部要因と外部要因の両方。
したがって、前回の統制自己評価（CSA）と監査の結果の差は、
どちらもリスクベースではなく、コンプライアンスベースでした。
この回答の参考文献は次のとおりです。
リスクITフレームワーク、9ページ
情報技術とセキュリティ、3ページ
リスクシナリオスターターパック、1ページ目

元従業員のアクティブなネットワークアカウントが将来的に発生するのを防ぐ最善の方法は、アクセス管理プロセスの包括的な見直しを行うことです。この見直しには、全従業員のアクセス権が定期的に更新されていることを確認すること、特に役割の変更や退職の際に更新されていることを確認することが含まれます。また、アクセス権の付与、変更、取り消しに関する明確なポリシーと手順が確立されていること、そしてそれらが一貫して遵守され、適切に文書化されていることを確認する必要があります。さらに、不正アクセスや不適切なアクセスにつながる可能性のあるアクセス管理プロセスのギャップや弱点を特定し、対処する必要があります。アクセス管理プロセスの包括的な見直しを行うことで、組織はセキュリティ体制を強化し、データ漏洩やリソースの不正使用のリスクを軽減できます。参考資料：IT監査：究極のガイド[チェックリスト付き] | Zapier、IT監査と統制 - IT監査の計画[2021年更新]