한 조직이 정보 보안 거버넌스 프레임워크를 구현하고 있습니다. 프로그램의 효과를 이해관계자에게 알리기 위해 가장 중요한 것은 다음을 확립하는 것입니다.
정답: D
= 각 마일스톤에 대한 지표를 설정하는 것은 프로그램의 효과를 이해관계자에게 전달하는 가장 좋은 방법입니다. 정보 보안 거버넌스 프레임워크의 진행 상황, 성과 및 결과를 추적하는 명확하고 측정 가능한 방법을 제공하기 때문입니다. 지표는 특정 목표, 목적 또는 표준의 달성을 평가하는 데 사용할 수 있는 정량화 가능한 지표입니다. 지표는 정보 보안 프로그램의 가치, 이점 및 투자 수익을 입증하고 격차, 문제 또는 위험을 식별하고 해결하는 데에도 도움이 될 수 있습니다. 각 마일스톤에 대한 지표는 조직의 전략, 비전 및 사명뿐만 아니라 이해관계자의 기대 및 요구와도 일치해야 합니다. 각 마일스톤에 대한 지표는 SMART(구체적, 측정 가능, 달성 가능, 관련성 및 시간 제한)를 준수해야 하며 일관성, 신뢰성 및 투명성을 갖춰야 합니다.
다른 옵션들은 각 마일스톤에 대한 지표를 설정하는 것만큼 중요하지 않습니다. 이러한 지표들은 프로그램의 효과를 이해관계자에게 포괄적이고 총체적으로 전달하는 방법을 제공하지 않기 때문입니다. 통제 자체 평가(CSA) 프로세스는 정보 보안 통제의 설계, 구현 및 효과를 평가하는 데 직원을 참여시키는 기법입니다. 직원의 인식, 책임감, 그리고 책임을 높이고 위험을 식별하고 완화하는 데 도움이 될 수 있습니다. 그러나 CSA 프로세스만으로는 정보 보안 프로그램의 전반적인 성과나 성숙도를 측정하지 못하기 때문에 이해관계자에게 프로그램의 효과를 전달하기에 충분하지 않습니다. 이해관계자에게 자동 보고를 제공하는 것은 정보 보안 프로그램의 상태, 결과 및 문제점에 대해 이해관계자에게 시의적절하고 정확하며 일관된 정보를 제공하는 방법입니다. 이해관계자 간의 소통, 협업 및 의사 결정을 촉진하고 정보 보안 프로그램의 준수 및 투명성을 보장하는 데 도움이 될 수 있습니다. 그러나 자동 보고만으로는 정보 보안 프로그램의 성과나 영향을 평가하지 못하기 때문에 이해관계자에게 프로그램의 효과를 전달하기에 충분하지 않습니다. 보안 정책 모니터링 프로세스는 보안 정책이 조직의 목표, 표준 및 규정에 따라 구현, 시행 및 검토되도록 보장하는 프로세스입니다. 이 프로세스는 보안 정책의 관련성, 적절성 및 효과를 유지하고 피드백, 변경 사항 및 개선 사항을 반영하는 데 도움이 될 수 있습니다. 그러나 모니터링 프로세스만으로는 거버넌스, 위험 관리, 사고 관리 또는 비즈니스 연속성과 같은 정보 보안 프로그램의 다른 측면을 다루지 않으므로 프로그램의 효과를 이해관계자에게 전달하기에 충분하지 않습니다. 참고문헌 = CISM 검토 매뉴얼, 제16판, ISACA, 2022, 211-212, 215-216, 233-234, 237-238쪽.
CISM 질문, 답변 및 설명 데이터베이스, ISACA, 2022, QID 1018.
CISM 도메인 1: 정보 보안 거버넌스[2022년 업데이트], 정보 보안, 1.
보안 거버넌스를 위한 핵심 성과 지표, 1부, ISACA 저널, 제6권, 2020년, 2쪽.
