合格.dev › 情報処理安全確保支援士試験 › 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ › 問24 情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問24: IT サービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1 が要求している事項はどれか。 ← 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ
☆ IT サービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1 が要求している事項はどれか。
CMDB に記録されている CI の原本を,物理的又は電子的にセキュリティが保たれた書庫で管理しなければならない。
潜在的な問題を低減させるために,予防処置をとらなければならない。
変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。
変更要求の受入れについての意思決定では,リスク,事業利益及び技術的実現可能性を考慮しなければならない。
問題本文 IT サービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1 が要求している事項はどれか。
選択肢 ア. CMDB に記録されている CI の原本を,物理的又は電子的にセキュリティが保たれた書庫で管理しなければならない。イ. 潜在的な問題を低減させるために,予防処置をとらなければならない。ウ. 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。エ. 変更要求の受入れについての意思決定では,リスク,事業利益及び技術的実現可能性を考慮しなければならない。正解 ウ. 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。
解説 JIS Q 20000-1の情報セキュリティ管理プロセスでは、変更がセキュリティに及ぼす影響を管理することが求められ、変更要求が情報セキュリティ基本方針および管理策に与える潜在的影響を評価しなければならないと規定されている。CMDB原本の書庫保管、予防処置、変更受入れ時のリスク・事業利益・実現可能性の考慮は、それぞれ構成管理や問題管理、変更管理など他プロセスの要求事項。実務では変更の前にセキュリティ影響評価を組み込むことが重要となる。
選択肢ごとの解説 ア. CI原本の書庫管理は構成管理側の事項で、情報セキュリティ管理の要求としては誤り。イ. 予防処置は問題管理など別プロセスの要求であり、本問の答えとしては誤り。ウ. 変更要求が情報セキュリティ方針・管理策に与える影響を評価するという正しい要求事項で正解。エ. リスクや事業利益等を考慮する変更受入れの判断は変更管理の事項であり、ここでは誤り。情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ の過去問一覧 へ戻る・問24
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。