ITパスポート試験 過去問解説
ISMSとは?ITパスポート試験 2015年 (平成27年 秋期) 問80を解説
ITパスポート試験 2015年 (平成27年 秋期) 問80は、ISMSに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- ISMSの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: 情報セキュリティ管理、ISMS、情報資産。
選択肢
- アISMSのマネジメントサイクルは,セキュリティ事故が発生した時点で開始し,セキュリティ事故が収束した時点で終了する。
- イISMSの構築,運用は,組織全体ではなく,必ず部門ごとに行う。
- ウISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。正解
- エ情報セキュリティ方針は,具体的なセキュリティ対策が記述されたものである。
正解
ウ: ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
解説
なぜ他の選択肢が違うのか
ア
誤り. ISMSのマネジメントサイクルはPDCAで継続的に運用するもので,セキュリティ事故発生時のみ動くものではない. 事故発生前の予防,発生後の対応,収束後の改善まで一貫して機能する継続的な管理体系で,「事故発生時開始・収束時終了」は事象対応型の誤った捉え方となる選択肢.
イ
誤り. ISMSは組織全体で構築・運用するのが原則で,「必ず部門ごとに行う」は誤り. もちろん部分的に運用範囲を限定することはあるが,「必ず」と限定するのはISMSの基本姿勢と矛盾する. 全社レベルでの方針と統制が中心で,部門単位の運用が必須要件ではない.
ウ(正解)
正解. ISMSを構築する組織はまず保護すべき情報資産を特定し,それらに対するリスクを洗い出して対策を決定する. 情報資産台帳作成→リスクアセスメント→管理策選定→運用→監視→改善というPDCAサイクルが基本で,「情報資産特定とリスク対策決定」がISMSの中核活動として正しい記述.
エ
誤り. 情報セキュリティ方針は組織のセキュリティに対する基本姿勢・目標を示す上位文書で,具体的なセキュリティ対策の詳細を記述するものではない. 具体策は対策基準・実施手順書等の下位文書で記述されるため,「方針=具体策記述」と捉えるのは文書階層の誤解にあたる選択肢.
解き方の整理
ISMSの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
2015年 (平成27年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。