정답: B
정보 보안 관리자가 조직의 정보 보안 프로그램의 효율성을 개선하는 가장 좋은 방법은 비즈니스 및 IT 기능과 협력하여 통제를 결정하는 것입니다.
협업은 정보 보안 프로그램이 조직의 비즈니스 목표, 위험 감수 성향, 그리고 보안 전략과 부합하고 비즈니스 프로세스 및 활동을 지원하는 데 중요한 요소입니다. 또한 협업은 정보 보안 프로그램의 주요 이해관계자이자 사용자인 비즈니스 및 IT 부서의 지지, 참여, 그리고 책임감을 확보하는 데에도 도움이 됩니다.
협업은 또한 조직 전체에서 정보 보안 프로그램의 의사소통, 조정 및 통합을 용이하게 하고, 정보 보안 관리자가 비즈니스 및 IT 기능의 요구 사항, 기대 사항 및 과제를 이해하고 가장 적절하고 효과적인 보안 통제 및 솔루션을 제안할 수 있도록 합니다.
보안과 성능 간의 갈등 해결에 집중하는 것(A)은 정보 보안 프로그램의 효과성을 개선할 수 있는 방법 중 하나이지만, 최선의 방법은 아닙니다. 보안과 성능은 종종 상충되거나 상충되는 목표입니다. 보안 통제는 시스템이나 프로세스의 효율성, 사용성 또는 가용성에 영향을 미치는 오버헤드, 복잡성 또는 지연을 유발할 수 있기 때문입니다. 이러한 갈등을 해결하면 보안과 성능 간의 균형과 상충 관계를 최적화하고 보안 통제에 대한 사용자 만족도와 수용도를 높이는 데 도움이 될 수 있습니다. 그러나 보안과 성능 간의 갈등 해결에 집중한다고 해서 정보 보안 프로그램과 비즈니스 및 IT 기능 간의 연계, 통합 또는 소통이 반드시 개선되는 것은 아니며, 이해관계자의 참여나 책임감을 보장하는 것도 아닙니다.
변경 관리 프로세스에 정보 보안 요구 사항을 포함하는 것도 정보 보안 프로그램의 효과를 개선하는 가능한 방법이지만 최선의 방법은 아닙니다.변경 관리 프로세스는 시스템이나 프로세스의 변경 사항(예: 개선, 업데이트 또는 수정)의 시작, 승인, 구현 및 검토를 관리하는 프로세스입니다.변경 관리 프로세스에 정보 보안 요구 사항을 포함하면 변경으로 인해 새롭거나 증가된 보안 위험이나 영향이 발생하지 않고 보안 정책, 표준 및 절차를 준수하는지 확인하는 데 도움이 될 수 있습니다.그러나 변경 관리 프로세스에 정보 보안 요구 사항을 포함한다고 해서 비즈니스 및 IT 기능과 정보 보안 프로그램의 협업, 소통 또는 조정이 반드시 향상되는 것은 아니며 이해 관계자의 동의 또는 참여를 보장하는 것도 아닙니다.
IT 부서의 지원을 받아 자동화된 보안 제어(D)를 구현하는 것도 정보 보안 프로그램의 효과를 개선하는 한 가지 방법이지만, 최선의 방법은 아닙니다. 자동화된 보안 제어는 소프트웨어, 하드웨어 또는 암호화, 방화벽, 바이러스 백신과 같은 기타 기술을 사용하여 사람의 개입 없이 보안 기능이나 작업을 수행하는 보안 제어입니다. IT 부서의 지원을 받아 자동화된 보안 제어를 구현하면 보안 제어의 효율성, 일관성 또는 신뢰성을 향상시키고 인적 오류, 부주의 또는 악의적인 행위를 줄이는 데 도움이 될 수 있습니다. 그러나 IT 부서의 지원을 받아 자동화된 보안 제어를 구현한다고 해서 정보 보안 프로그램과 비즈니스 및 IT 기능 간의 협업, 소통 또는 통합이 반드시 향상되는 것은 아니며, 이해관계자의 소유권이나 참여도 보장되지 않습니다.
참고문헌 = CISM 검토 매뉴얼, 제16판, 제1장: 정보 보안 거버넌스, 섹션:
정보 보안 전략 개발, 하위 섹션: 협업, 24-251페이지
