セクション: 巻C
Explanation:
リスクしきい値は、特定の対応が必要なリスクを識別するのに役立ちます。

データ損失防止（DLP）制御は、組織における機密データの侵害、つまりデータ漏洩インシデントを検出し、阻止するためのテクノロジーです。DLP制御は、クレジットカード番号などの機密データが、意図的か偶発的かを問わず、権限のない人物に漏洩するのを防ぐために使用されます1。クレジットカードデータの損失を防ぐために実装されたDLP制御の有効性を確認する最良の方法は、クレジットカード番号の送信をテストすることです。これは、電子メール、メッセージング、ファイル転送など、さまざまなチャネルを介して送受信されたクレジットカードデータについて、DLP制御が適切に識別してブロックできることを確認する手法です。クレジットカード番号の送信をテストすることで、DLP制御の正確性と信頼性を評価し、誤検知や誤検知を識別して修正することができます。その他の方法は、クレジットカードデータの損失を防ぐために実装されたDLP制御の有効性を確認するための最良の方法ではありませんが、有用で補完的な役割を果たす可能性があります。
不正なデータ転送のログを確認することは、DLP制御アクティビティとインシデント（誰が、何を、いつ、どこで、どのようにデータが転送されたかなど）を監視・分析するための手法です。ただし、ログの確認は事後的かつ受動的なアプローチであるのに対し、転送のテストは事前的かつ能動的なアプローチです。クレジットカード番号をブロックするようにDLP制御を設定することは、データパターン、検出方法、対応アクションの定義など、DLP制御ルールとポリシーを設定する手法です。
ただし、DLP制御の設定は前提条件と準備ステップであり、送信テストは検証と確認ステップです。DLPルール変更制御プロセスのテストは、承認の取得、変更の文書化、変更のテスト、変更の伝達など、DLP制御ルールとポリシーが管理された調整された方法で更新および維持されるようにするための手法です。ただし、DLPルール変更制御プロセスのテストは品質とガバナンスのステップであるのに対し、送信テストはパフォーマンスと機能のステップです。参考文献 = データ損失防止（DLP）とは？ | Digital Guardian1; CRISCレビューマニュアル、164～1652ページ; CRISCレビュー問題、解答、解説マニュアル、166～168ページ
833

は誤りです。リスクの発生確率と影響を軽減するために費用を費やす行為は、軽減と呼ばれます。答え：Dは誤りです。活用は、組織が機会を確実に実現したい場合に、プラスの影響をもたらすリスクに対して選択される戦略です。答え：Cは誤りです。リスクを回避するためにプロジェクトに追加の活動が導入される場合、これは回避の一例です。

資産とは、企業や会社が所有する経済資源です。個人が所有する有形・無形のもの、通常は債務返済に充てられると考えられるものはすべて資産とみなされます。資産は、組織が保護する必要があると判断したリソース、プロセス、製品、コンピューティングインフラなどとも定義されます。有形資産：有形資産とは、人、インフラ、資金など、物理的な属性を持ち、感覚で認識できる資産です。無形資産：無形資産とは、情報、評判、顧客の信頼など、物理的な属性を持たず、感覚で認識できない資産です。

組織のファイアウォールルールセットの有効性を測定するための最適な指標は、キー制御です。
指標（KCI）です。ファイアウォールは、一連のルールまたはポリシーに基づいてネットワークトラフィックをフィルタリングするデバイスまたはソフトウェアです。
ファイアウォールルールセットとは、ファイアウォールの許可または拒否の基準を定義する設定です。
トラフィックをブロックする。主要管理指標は、
目標達成とリスク軽減における統制。主要管理指標は、
ファイアウォールルールセットの適切性と効率性を評価し、改善が必要なギャップ、弱点、問題を特定します。
主要リスク指標（KRI）、主要管理指標（KMI）、主要業績指標
KPIはリスク管理の異なる側面を測定するため、主要管理指標ほど適切ではない。
リスクの程度や性質、リスクの調整や統合などのプロセス
リスク管理活動、およびリスク管理目標と目標の達成。参考文献 = CRISC
レビューマニュアル、第 6 版、ISACA、2015 年、220 ページ。