ITパスポート 2015年 (平成27年 秋期) 問80「ISMSに関する記述のうち,適切なものはどれか。…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約56%です。
正解
ウ. ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
正答率 56.4%(1,917人中 1,082人が正解)
問題の解説
ISMS(Information Security Management System)に関する問題. ISMSは組織の情報セキュリティを確立・実施・維持・継続的に改善するための仕組みで,JIS Q 27001(ISO/IEC 27001)が国際規格. PDCAサイクルで継続的に運用し,リスクアセスメントを基に管理策を選定する. ISMSは組織全体で構築するのが基本(部門単位ではなく経営層主導),セキュリティ事故発生時のみ動くものでもなく常時運用される. 情報セキュリティ方針は理念・目標を示す上位文書で具体策の記述ではなく,情報資産特定とリスク対策決定が基本ステップとなる. 「組織全体・継続運用・リスクベース」が3つの鍵.
選択肢ごとの解説
- 誤り. ISMSのマネジメントサイクルはPDCAで継続的に運用するもので,セキュリティ事故発生時のみ動くものではない. 事故発生前の予防,発生後の対応,収束後の改善まで一貫して機能する継続的な管理体系で,「事故発生時開始・収束時終了」は事象対応型の誤った捉え方となる選択肢.
- 誤り. ISMSは組織全体で構築・運用するのが原則で,「必ず部門ごとに行う」は誤り. もちろん部分的に運用範囲を限定することはあるが,「必ず」と限定するのはISMSの基本姿勢と矛盾する. 全社レベルでの方針と統制が中心で,部門単位の運用が必須要件ではない.
- 正解. ISMSを構築する組織はまず保護すべき情報資産を特定し,それらに対するリスクを洗い出して対策を決定する. 情報資産台帳作成→リスクアセスメント→管理策選定→運用→監視→改善というPDCAサイクルが基本で,「情報資産特定とリスク対策決定」がISMSの中核活動として正しい記述.
- 誤り. 情報セキュリティ方針は組織のセキュリティに対する基本姿勢・目標を示す上位文書で,具体的なセキュリティ対策の詳細を記述するものではない. 具体策は対策基準・実施手順書等の下位文書で記述されるため,「方針=具体策記述」と捉えるのは文書階層の誤解にあたる選択肢.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧に戻る・問80