情報セキュリティマネジメント試験 過去問解説
組織が順守することが望ましいこととは?情報セキュリティマネジメント試験 平成29年度春期 午前 問5を解説
情報セキュリティマネジメント試験 平成29年度春期 午前 問5は、組織が順守することが望ましいことに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントを効果的なものにするために,組織が順守することが望ましいこととして挙げられている原則はどれか。
この問題の出題ポイント
- 組織が順守することが望ましいことの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アリスクマネジメントは,静的であり,変化が生じたときに終了する。
- イリスクマネジメントは,組織に合わせて作られる。正解
- ウリスクマネジメントは,組織の主要なプロセスから分離した単独の活動である。
- エリスクマネジメントは,リスクが顕在化した場合を対象とする。
正解
イ: リスクマネジメントは,組織に合わせて作られる。
解説
本問はJIS Q 31000:2010が掲げるリスクマネジメントの諸原則を問う。同規格は、リスクマネジメントが組織の外部・内部環境やリスクプロファイルに合わせて作り込まれるべき(テーラーメイドである)ことを原則の一つとして挙げている。正解はイで、組織ごとの状況に適合させることが効果的なリスクマネジメントの条件である。
なぜ他の選択肢が違うのか
ア
誤り。規格はリスクマネジメントが動的で変化に対応し継続的に繰り返されるべきとしており、静的で変化時に終了するという記述は逆である。
イ(正解)
正しい。リスクマネジメントは組織に合わせて作られる(テーラーメイドである)ことが、同規格の原則として明記されている。
ウ
誤り。規格はリスクマネジメントが組織のあらゆるプロセスに統合された不可欠な部分であるべきとしており、分離した単独活動とする記述は誤りである。
エ
誤り。リスクマネジメントは顕在化したリスクだけでなく不確かさを体系的に扱うものであり、顕在化した場合のみを対象とする記述は誤りである。
解き方の整理
組織が順守することが望ましいことの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。