合格.dev › 情報処理安全確保支援士試験 › 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ › 問25 情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問25: ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附 ← 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ
☆ ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附属書 A の管理策に照らして監査を行った。判明した状況のうち,監査人が,監査報告書に指摘事項として記載すべきものはどれか。
ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。
ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。
パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。
問題本文 ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附属書 A の管理策に照らして監査を行った。判明した状況のうち,監査人が,監査報告書に指摘事項として記載すべきものはどれか。
選択肢 ア. ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。イ. ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。ウ. ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。エ. パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。正解 ア. ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
解説 JIS Q 27001附属書Aは、システム取得・開発・保守でセキュリティを組み込むことを求めており、セキュリティ機能の試験は開発の過程で適切な時点に実施すべきとされる。開発期間が終了した後に試験するのは作り込み段階で検証していない不備であり、監査人が指摘すべき状況に当たる。よってアが正解。実務ではセキュアな設計・実装と並行した検証(シフトレフト)が望ましい。
選択肢ごとの解説 ア. セキュリティ機能の試験を開発終了後に実施しているのは適切な時点での検証を欠く不備で、指摘事項として正解。イ. セキュリティに配慮した開発環境で行うことは管理策に沿った望ましい状態であり、指摘すべき問題ではない。ウ. 外部委託先の開発の監督でセキュリティを考慮することは管理策に適合しており、指摘事項には当たらない。エ. パッケージの変更を必要最小限に限定するのは適切な統制で、指摘すべき不備ではないため誤り。情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ の過去問一覧 へ戻る・問25
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。