構成更新とは、ITシステムまたはネットワークの設定、パラメータ、またはコンポーネントに対する変更です。構成更新は、システムまたはネットワークの機能、パフォーマンス、セキュリティ、および信頼性に影響を与える可能性があります。したがって、構成更新は正式な変更管理に従う必要があります。正式な変更管理とは、変更が管理された方法で承認、文書化、テスト、および実装されることを保証するプロセスです。正式な変更管理は、構成更新によって発生する可能性のあるエラー、競合、中断、および脆弱性を防ぐのに役立ちます。正式な変更管理に従わない構成更新は、新たなリスクをもたらしたり、既存の管理を危うくしたりする可能性があるため、IT管理の有効性を判断する際にリスク管理担当者が最も懸念すべき事項です。参考文献：リスクおよび情報システム管理研究マニュアル、第3章「リスク対応と軽減」、第3.5節「管理の監視と報告」、161～162ページ。

このシナリオでは、意識向上トレーニングが最も不備となる可能性の高いコントロールです。これは、機密データの適切な取り扱いと保護、そして組織ポリシー違反の結果について従業員を教育することを目的としています。意識向上トレーニングは、ファイルを誤って社内から持ち出すなど、データの損失や漏洩につながる可能性のある人為的ミスの発生を防止または軽減するのに役立ちます。その他の選択肢は、シナリオに直接関連していないか、インシデントを防ぐのに十分ではないため、不備となる可能性が最も高いコントロールではありません。身元調査は、潜在的な従業員または現在の従業員の身元、資格、および信頼性を確認するために使用されますが、従業員が常にポリシーを遵守したり、ミスを回避したりすることを保証するものではありません。ユーザーアクセスは、ユーザーのID、役割、または資格情報に基づいて情報システムまたはリソースへのアクセスを制限するために使用されますが、ユーザーがアクセスした後でデータをコピーまたは削除することを防ぐことはできません。ポリシー管理は、組織ポリシーの作成、伝達、および適用に使用されますが、従業員がポリシーを理解し、遵守することを保証するものではありません。参照 = 機密データの基本 - 機密ファイルのライフサイクル、個人データ漏洩の例 | ICO、従業員が誤って個人情報を送信するのを防ぐにはどうすればよいですか... - GCIT、従業員の機密情報を保護する 10 の方法、漏洩後に個人データが失われました。私の権利は何ですか...