情報セキュリティマネジメント試験 過去問解説

要求事項)とは?情報セキュリティマネジメント試験 平成30年度春期 午前 問5を解説

情報セキュリティマネジメント試験 平成30年度春期 午前 問5は、要求事項)に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。

アプリ形式でこの問題を解く 弱点分析・復習リマインダーを見る

問題文

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)及び JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)における情報セキュリティ事象と情報セキュリティインシデントの関係のうち,適切なものはどれか。

この問題の出題ポイント

  • 要求事項)の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。

選択肢

  1. 情報セキュリティ事象と情報セキュリティインシデントは同じものである。
  2. 情報セキュリティ事象は情報セキュリティインシデントと無関係である。
  3. 単独又は一連の情報セキュリティ事象は,情報セキュリティインシデントに分類され得る。正解
  4. 単独又は一連の情報セキュリティ事象は,全て情報セキュリティインシデントである。

正解

: 単独又は一連の情報セキュリティ事象は,情報セキュリティインシデントに分類され得る。

解説

JIS Q 27000では,情報セキュリティ事象(イベント)とは情報セキュリティ方針違反や管理策の失敗の可能性などを示す状態の発生であり,情報セキュリティインシデントとは事業運営や情報セキュリティを脅かす可能性が高い事象(の集まり)と定義される。単独または一連の情報セキュリティ事象が,望ましくない影響を及ぼし得る場合にインシデントに分類されるため,正解はウである。

なぜ他の選択肢が違うのか

  • 事象とインシデントは別の概念であり,同じものではない。

  • インシデントは事象から判定・分類されるものなので,両者は無関係ではない。

  • ウ(正解)

    単独または一連の情報セキュリティ事象がインシデントに分類され得るという,両者の関係を正しく表している。

  • 全ての事象がインシデントになるわけではなく,事業運営や情報セキュリティを脅かす可能性が高いものだけが分類されるため誤りである。

解き方の整理

要求事項)の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

問4退職する従業員による不正を防ぐための対策のうち,IPA “組織における内部不正防止ガイドライン(第4版)”に照らして,適切なものはどれか...問6IPA “中小企業の情報セキュリティ対策ガイドライン(第2.1版)”を参考に,次の表に基づいて,情報資産の機密性を評価した。機密性が評価...

平成30年度春期 午前 の関連する問題

問38 · 同じテーマ: 要求事項)JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に準拠して ISMS を運用している場合,内部監査につ...

平成30年度春期 午前の問題一覧 情報セキュリティマネジメント試験の解説一覧

復習を続ける

間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。

Pro機能を見る 情報セキュリティマネジメントアプリを開く