情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問38: ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附
←情報セキュリティマネジメント試験 平成31年度春期 午前
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。
問題本文
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。
選択肢
- ア.ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
- イ.ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。
- ウ.ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。
- エ.パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。
正解
ア. ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
解説
監査の指摘事項とは、管理策に照らして不適切・不十分な状況を指す。セキュリティ機能の試験は開発期間中(開発の各段階)に実施すべきであり、開発期間終了後にまとめて実施するのは不備に当たるため、指摘事項として記載すべきものは正解のアである。
選択肢ごとの解説
- ア.正しい。セキュリティ試験は開発期間中に実施すべきであり、終了後に実施している状態は管理策に照らして不備であり指摘対象となる。
- イ.誤り。セキュリティに配慮した開発環境で開発することは望ましい状態であり、指摘事項にはならない。
- ウ.誤り。外部委託先の監督・監視でセキュリティを考慮することは適切な状態であり、指摘事項にはならない。
- エ.誤り。パッケージの変更を必要最小限に限定することはセキュリティ上望ましく、指摘事項にはならない。
情報セキュリティマネジメント試験 平成31年度春期 午前 の過去問一覧へ戻る・問38