情報セキュリティマネジメント試験 過去問解説
決定しなければならない事項とは?情報セキュリティマネジメント試験 平成31年度春期 午前 問8を解説
情報セキュリティマネジメント試験 平成31年度春期 午前 問8は、決定しなければならない事項に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,情報セキュリティ目的をどのように達成するかについて計画するとき,“実施事項”,“責任者”,“達成期限”のほかに,決定しなければならない事項として定められているものはどれか。
この問題の出題ポイント
- 決定しなければならない事項の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア“必要な資源”及び“結果の評価方法”正解
- イ“必要な資源”及び“適用する管理策”
- ウ“必要なプロセス”及び“結果の評価方法”
- エ“必要なプロセス”及び“適用する管理策”
正解
ア: “必要な資源”及び“結果の評価方法”
解説
JIS Q 27001:2014の箇条6.2は、情報セキュリティ目的の達成計画として「何を実施するか(実施事項)」「必要な資源」「責任者」「達成期限」「結果の評価方法」の五つを決定するよう求めている。設問が挙げていない残りの二つは“必要な資源”と“結果の評価方法”であり、アが正解である。なお、適用する管理策は附属書Aやリスク対応計画で扱う事項で、ここでの達成計画の決定項目ではない。
なぜ他の選択肢が違うのか
ア(正解)
“必要な資源”と“結果の評価方法”は、規格6.2が達成計画として決定を求める残りの二項目に正確に一致する。
イ
“必要な資源”は正しいが、“適用する管理策”は6.2の達成計画の決定項目ではないため誤り。
ウ
“結果の評価方法”は正しいが、6.2では“必要なプロセス”ではなく“必要な資源”が求められるため誤り。
エ
“必要なプロセス”も“適用する管理策”も6.2の達成計画の決定項目には含まれないため誤り。
解き方の整理
決定しなければならない事項の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。