CRISCレビューマニュアル（デジタル版）によると、プロバイダーを監査する権利は、
クラウドベースのサービスへのアウトソーシング活動に関連するITリスクを定義するのに役立つ重要な要素
プロバイダーは、組織がプロバイダーのコンプライアンスとパフォーマンスを検証できるため、
契約上の義務とサービスレベル契約。プロバイダーを監査する権利は、以下のことに役立ちます。
ホストされているデータとプロセスのセキュリティ、可用性、機密性、整合性、プライバシーを評価します。
プロバイダー
クラウドベースのサービスとプロバイダーのインフラストラクチャに関連するリスクと制御を特定し評価します。
クラウドベースのサービスとプロバイダーのガバナンスの品質と有効性を監視および測定します。
および管理慣行
クラウドベースのサービスおよびプロバイダーの運用に関連する問題やインシデントを報告し、解決する
クラウドベースのサービスとプロバイダーのポリシーおよび標準が、
組織の目的と要件
参考文献 = CRISCレビューマニュアル（デジタル版）、第3章：ITリスク対応、セクション3.3：リスク
回答オプション、176～1771ページ

買収した会社から確認すべき最も重要な情報は、更新作業を容易にするためである。
組織のITリスクプロファイルは、リスク評価とリスク登録です。リスク評価とは、
買収した企業のITリスクを特定、分析、評価する。リスク登録簿とは、
ITリスクの詳細（発生源、原因、結果、発生可能性、影響、および
リスク評価とリスク登録簿をレビューすることで、リスク管理担当者は包括的な
買収した会社のITリスクプロファイルを正確に理解し、それをITリスクと統合する
買収組織のプロファイル。内部監査および外部監査報告書、財務諸表におけるリスク開示
声明、事業目標、戦略なども情報源として考えられるが、
リスク評価とリスク登録と同様に重要です。参考資料 = ISACAリスクおよび情報認定
システム制御（CRISC）認定試験の質問と解答、質問11; CRISCレビューマニュアル、
第6版、144ページ。

クレジットカード決済に対応するためのシステム変更において、データ漏洩リスクを軽減するために組織がまず行うべきことは、リスクアセスメントを実施することです。これは、システムとデータに影響を及ぼす可能性のある潜在的なリスク、脅威、脆弱性、そしてそれらがビジネス目標とプロセスに及ぼす可能性と影響を特定・分析するプロセスだからです。リスクアセスメントは、現在のリスクレベルとリスクエクスポージャーを特定し、適切なリスク対応策とリスク管理策を選択して実施するための基盤を提供するのに役立ちます。その他の選択肢は、組織が最初に行うべきものではありません。その理由は次のとおりです。
* オプションB：セキュリティ戦略の更新はリスクアセスメントの実施結果ですが、組織が最初に行うべきことではありません。セキュリティ戦略とは、システムとデータのセキュリティ目標、ポリシー、標準、手順を定義する計画であり、リスクアセスメントの結果、ビジネス要件、期待値と整合している必要があります。
* オプションC：追加の管理策の導入はリスク評価結果への対応策ですが、組織が最初に行うべきことではありません。管理策とは、リスク、脅威、脆弱性の発生や影響を防止または軽減し、システムとデータの機密性、完全性、可用性を確保するために設計・実施される対策です。
* オプションD：リスク登録簿の更新はリスク評価プロセスの一部ですが、組織が最初に行うべきことではありません。リスク登録簿は、特定されたリスク、その特性、ステータス、および対応策を文書化し追跡するためのツールであり、システムとデータの最新のリスクプロファイルとエクスポージャーを反映するために定期的に更新する必要があります。参考文献：リスクおよび情報システム管理学習マニュアル、第7版、ISACA、2020年、108ページ。