情報セキュリティマネジメント試験 過去問解説
ビューとは?情報セキュリティマネジメント試験 平成31年度春期 午前 問1を解説
情報セキュリティマネジメント試験 平成31年度春期 午前 問1は、ビューに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして,適切なものはどれか。
この問題の出題ポイント
- ビューの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/内部監査の結果
- イ前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/発生した不適合及び是正処置の状況
- ウ前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況正解
- エトップマネジメントが設定した情報セキュリティ目的/内部監査の結果/発生した不適合及び是正処置の状況
正解
ウ: 前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況
解説
マネジメントレビューはISMSが適切・妥当・有効に機能しているかをトップマネジメントが定期的に評価する活動で、JIS Q 27001:2014 の箇条9.3はレビュー時の考慮事項(インプット)を規定している。規格は「前回までのマネジメントレビューの結果とった処置の状況」「内部監査の結果」「不適合及び是正処置の状況」などをインプットとして列挙する一方、情報セキュリティ目的の設定そのものはレビューのインプットではないため、これら3つを組み合わせたウが適切である。
なぜ他の選択肢が違うのか
ア
「内部監査の結果」は正しいインプットだが、「トップマネジメントが設定した情報セキュリティ目的」はレビューで考慮すべきインプットには含まれないため誤り。
イ
「不適合及び是正処置の状況」は正しいインプットだが、「情報セキュリティ目的」が含まれており組合せとして適切でない。
ウ(正解)
「前回処置の状況」「内部監査の結果」「不適合及び是正処置の状況」はいずれも規格9.3が定めるレビューのインプットであり、正しい組合せである。
エ
「内部監査の結果」「不適合及び是正処置の状況」は正しいが、「情報セキュリティ目的」が含まれるため適切でない。
解き方の整理
ビューの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
平成31年度春期 午前 の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。