体系的な監査と評価は、パッチ管理の取り組みの成功と範囲を測定するために不可欠です。パッチの展開後、組織は脆弱性が意図したとおりに修正または軽減されたことを確認する必要があります。これは、パッチ ログを確認して推奨パッチが適切にインストールされたかどうかを確認し、フォローアップ スキャンを実行し、侵入テストを実行して、パッチが阻止するように設計されたエクスプロイト コードに対してシステムが脆弱でないことを確認することで実現できます。

当初の回答であるスループットには同意できません。確かにスループットは重要ですが、Krutz 氏は正確さが最も重要であるとしています。
生体認証システムの精度に加えて、考慮しなければならない他の要素もあります。これらの要素には、登録時間、スループット率、受容性が含まれます。Ronald Krutz CISSP PREP ガイド (ゴールド エディション) 51 ページ

リスク管理は、経営幹部が現在のリスクを把握し、リスク回避、リスク移転、リスク軽減、リスク受容のいずれかのリスク管理原則に基づいて情報に基づいた意思決定を行えるようにするためのメカニズムを組織に提供します。
リスク受容とは、リスクが特定され、理解され、ビジネス運営を行うために受容可能と評価された状態を指します。受容は軽減と密接に関連していますが、両者は少し異なります。
結局のところ、複雑なコンピューティングの世界でビジネスを行うには、常に多少のリスクを負わなければなりません。Web サイトの運営、VPN 接続のホスティング、従業員のオープン インターネットへの接続など、リスクは存在します。
管理者はリスクを受け入れるか、回避するか、または他の当事者に移転することができます。いずれにしても、事業運営を行うにはリスクに対処する必要があります。
次の回答は間違っています。
リスク回避: リスクを回避するとは、リスクに対処するためにリスクを完全に回避することです。Web サイトをホストしないこと、独自の Web プロキシを操作しないこと、またはその他のコンピューティング タスクを実行しないことなど、さまざまな方法があります。プロセスを実行しないことを選択することは、リスク回避です。これは正しくありません。リスクを受け入れることは、明らかにリスクを回避することではないからです。
リスクの移転: リスクを移転する場合、私たちはリスクを私たちに代わって引き受けるために誰かにお金を払い、それによって私たちは業務を遂行し、リスクから利益を得ますが、自分たち自身はリスクの高い業務を引き受けません。リスクを受け入れることは、リスクをまったく受け入れていないという点で、自分の組織以外の別の組織にリスクを移転することとは異なります。誰かがあなたに代わってリスクを引き受けます。
リスク軽減: リスクを軽減するということは、リスクを受け入れ、リスクを回避してその恩恵を受けることを意味します。良い例としては、ロックダウンされた Web サーバーやファイアウォールが挙げられます。それらが提供するサービスから恩恵を受けながら、技術的な手段によって関連するリスクを軽減します。軽減は誤りです。リスクを軽減してより受け入れやすくすることで、リスクを単に受け入れる以上のことを行うからです。
この質問を作成するために、次の参考資料が使用されました。
グレッグ、マイケル、ヘインズ、ビリー (2012-02-16) CASP: CompTIA アドバンスト セキュリティ
実践者学習ガイド公認コースウェア: 試験 CAS-001 (p. 218)。Wiley。Kindle
版。
そして
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
版 ((ISC)2 Press) (Kindle の場所 8884-8886)。Auerbach Publications。Kindle
版。