SC-900セキュリティ、コンプライアンス、および ID の概念MEDIUM複数選択

ある組織のCISOが、GRC(ガバナンス・リスク管理・コンプライアンス)プログラムの構成要素を経営陣に説明しようとしている。GRCの構成要素として正しいものを3つ選択してください。

  1. A. ガバナンス(Governance):組織のIT意思決定構造・ポリシー・説明責任の枠組みを整備する
  2. B. リスク管理(Risk Management):組織が直面するリスクを特定・評価し、許容水準まで低減する対策を講じる
  3. C. コンプライアンス(Compliance):法令・規制・業界標準への適合状況を継続的に確認し維持する
  4. D. コスト削減(Cost Reduction):IT投資を最適化してセキュリティ関連コストを下げる
  5. E. コミュニケーション(Communication):組織内外の情報共有を促進するツールを導入する
解答と解説を見る

正解: A, B, C

GRCはGovernance(ガバナンス)・Risk management(リスク管理)・Compliance(コンプライアンス)の3つの要素から構成される。選択肢Aのガバナンスは組織の意思決定構造・ポリシー・説明責任の枠組みを整備する活動であり、GRCの「G」に該当する。選択肢Bのリスク管理は組織が直面するリスクを特定・評価し許容水準まで低減する活動で、GRCの「R」に該当する。選択肢Cのコンプライアンスは法令・規制・業界標準(GDPR・ISO 27001・HIPAA等)への継続的な適合確認であり、GRCの「C」に該当する。一方、選択肢DのCost Reduction(コスト削減)と選択肢EのCommunication(コミュニケーション)は、いずれもGRCの構成要素ではなく、業務上重要であってもGRCフレームワークの3要素には含まれない。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題