にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20221224103753

まいにちセキュマネ 平成31年春午前1問題解説 問7 問8 問9 

どの本の何版に書かれているか、明記されてます。

#KEEP LEARNING   #STAY HOME

f:id:koharuwest:20200430223218p:plain
情報処理技術者試験 セキュリティマネジメント平成31
年春午前
問題(全50問)を解いていきます。

※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。

問題の解き
方や考え方をわかりやすく、解説してみる
連載です。

※問題の引用についてはIPAのルールを遵守しています。

問7
JIS Q 27000:2014(情報セキュリティマネジメントシ
ステム−用語)では、リスクを運用管理することにつ
いて、アカウンタビリティ及び権限をもつ人又は主体
を何と呼んでいるか。

ア 監査員
イ トップマネジメント
ウ 利害関係者
エ リスク所有者


問8
JIS Q 27001:2014(情報セキュリティマネジメント
システム−要求事項)において、情報セキュリティ目
的をどのように達成するかについて計画するとき、
”実施事項”、”責任者”、”達成期限”のほかに、決定
しなければならない事項として定められているものは
どれか。

ア ”必要な資源”及び”結果の評価方法”
イ ”必要な資源”及び”適用する管理策”
ウ ”必要なプロセス”及び”結果の評価方法”
エ ”必要なプロセス”及び”適用する管理策”


問9
組織での情報資産管理台帳の記入方法のうち、IPA
”中小企業の情報セキュリティ対策ガイドライン(第
2.1版)”に照らして、適切なものはどれか。

ア 様々な情報が混在し、重要度を一律に評価できな
  いドキュメントファイルは、企業の存続を左右し
  かねない情報や個人情報を含む場合だけ台帳に記
  入する。
イ 時間経過に伴い重要度が変化する情報資産は、重
  要度が確定してから、又は組織で定めた未記入措
  置期間が経過してから、台帳に記入する。
ウ 情報資産を紙媒体と電子データの両方で保存して
  いる場合は、いずれか片方だけを台帳に記入する。
エ 利用しているクラウドサービスに保存している情
  報資産を含めて、台帳に記入する。

 

 
(解答と解説)

問7
「リスクを管理する」アカウンタビリティ(説明責任)
及び権限をもつ人又は主体なので。

エ リスク所有者


問8
情報セキュリティ目的の”実施事項”、”責任者”、”達成
期限”のほかに、決定しなければならない事項は

ア ”必要な資源”及び”結果の評価方法”


問9
中小企業の情報セキュリティ対策ガイドラインです。

ア 様々な情報が混在し、重要度を一律に評価できな
  いドキュメントファイルは、企業の存続を左右し
  かねない情報や個人情報を含む場合だけ台帳に記
  入する。
いえいえ、台帳に記入します。
イ 時間経過に伴い重要度が変化する情報資産は、重
  要度が確定してから、又は組織で定めた未記入措
  置期間が経過してから、台帳に記入する。
現時点でやります
ウ 情報資産を紙媒体と電子データの両方で保存して
  いる場合は、いずれか片方だけを台帳に記入する。
情報資産は紙だけではないです。
エ 利用しているクラウドサービスに保存している情
  報資産を含めて、台帳に記入する。
正解です。