ITパスポート試験 過去問解説
ISMSとは?ITパスポート試験 2014年 (平成26年 秋期) 問83を解説
ITパスポート試験 2014年 (平成26年 秋期) 問83は、ISMSに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- ISMSの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- マネジメント系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: システム監査、ISMS、監査計画。
選択肢
- ア監査の計画書を作成する。正解
- イサーバのセキュリティ設定を見直す。
- ウ全てのサーバの監査用ログの所在を確認する。
- エ脆弱性検査ツールを利用して,サーバの脆弱性を確認する。
正解
ア: 監査の計画書を作成する。
解説
なぜ他の選択肢が違うのか
ア(正解)
正解. ISMS活動の一環としてサーバセキュリティ監査を行う場合,最初に実施すべきは監査の計画書作成である. 監査範囲・目的・基準・スケジュール・体制等を明確化することで,以降の予備調査・本調査・評価・報告がスムーズに進む. システム監査基準でも計画策定が最上流の工程として位置付けられている.
イ
誤り. サーバのセキュリティ設定見直しは,被監査側(運用部門等)が行う改善活動であり,監査人が監査の最初に行う活動ではない. 監査人は独立した立場で評価・指摘を行う立場であり,監査対象の設定変更は監査の対象となる活動である. 監査と改善実施の役割を明確に区別する.
ウ
誤り. 全サーバの監査用ログの所在確認は,予備調査(監査対象の状況把握)等の段階で行う作業であり,監査の最初の活動ではない. その前に監査計画書を作成して何のために何をどう監査するかを明確化することが必要となる. 計画なしの作業着手は監査として不適切である.
エ
誤り. 脆弱性検査ツールを利用したサーバ脆弱性確認は,本調査(具体的な監査作業)の中で実施することはあるが,監査全体の最初に行う活動ではない. その前に計画書で対象・基準・手法を明確化しておくことが必要であり,計画段階を飛ばしてツール検査から入るのは順序が不適切.
解き方の整理
ISMSの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
2014年 (平成26年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。