合格.dev › 情報処理安全確保支援士試験 › 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ › 問24 情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問24: IT サービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1:2012(サービスマネジメントシステム要求事項)が要求している事項 ← 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ
☆ IT サービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1:2012(サービスマネジメントシステム要求事項)が要求している事項はどれか。
CMDB に記録されている CI の原本を,セキュリティが保たれた物理的又は電子的な格納庫で管理しなければならない。
潜在的な問題を低減させるために,予防処置をとらなければならない。
変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。
変更要求の受入れについての意思決定では,リスク,事業利益及び技術的実現可能性を考慮しなければならない。
問題本文 IT サービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1:2012(サービスマネジメントシステム要求事項)が要求している事項はどれか。
選択肢 ア. CMDB に記録されている CI の原本を,セキュリティが保たれた物理的又は電子的な格納庫で管理しなければならない。イ. 潜在的な問題を低減させるために,予防処置をとらなければならない。ウ. 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。エ. 変更要求の受入れについての意思決定では,リスク,事業利益及び技術的実現可能性を考慮しなければならない。正解 ウ. 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。
解説 JIS Q 20000-1の情報セキュリティ管理プロセスでは、情報セキュリティへの影響を管理するため、変更要求が情報セキュリティ基本方針および管理策に与える潜在的影響を評価することを要求している。ウが正解。実務では変更管理とセキュリティを連携させ、システム変更が新たなリスクを生まないかを事前評価することで、変更に伴うセキュリティ低下を防ぐ。
選択肢ごとの解説 ア. CIの原本を安全な格納庫で管理するのは構成管理に関する事項で、情報セキュリティ管理プロセスの要求とは別で誤り。イ. 潜在的問題低減のための予防処置は問題管理等に関する記述で、情報セキュリティ管理が要求する事項ではないので誤り。ウ. 変更要求が情報セキュリティ基本方針や管理策に与える潜在的影響を評価する点が同規格の要求で、これが正解。エ. リスクや事業利益等を考慮した変更受入れの意思決定は変更管理の事項で、情報セキュリティ管理固有の要求ではないため誤り。情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ の過去問一覧 へ戻る・問24
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。