どの本の何版に書かれているか、明記されてます。
#KEEP LEARNING #STAY HOME
情報処理技術者試験 セキュリティマネジメント平成31
年春午前問題(全50問)を解いていきます。
※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。
問題の解き方や考え方をわかりやすく、解説してみる
連載です。
※問題の引用についてはIPAのルールを遵守しています。
問7
JIS Q 27000:2014(情報セキュリティマネジメントシ
ステム−用語)では、リスクを運用管理することにつ
いて、アカウンタビリティ及び権限をもつ人又は主体
を何と呼んでいるか。
ア 監査員
イ トップマネジメント
ウ 利害関係者
エ リスク所有者
問8
JIS Q 27001:2014(情報セキュリティマネジメント
システム−要求事項)において、情報セキュリティ目
的をどのように達成するかについて計画するとき、
”実施事項”、”責任者”、”達成期限”のほかに、決定
しなければならない事項として定められているものは
どれか。
ア ”必要な資源”及び”結果の評価方法”
イ ”必要な資源”及び”適用する管理策”
ウ ”必要なプロセス”及び”結果の評価方法”
エ ”必要なプロセス”及び”適用する管理策”
問9
組織での情報資産管理台帳の記入方法のうち、IPA
”中小企業の情報セキュリティ対策ガイドライン(第
2.1版)”に照らして、適切なものはどれか。
ア 様々な情報が混在し、重要度を一律に評価できな
いドキュメントファイルは、企業の存続を左右し
かねない情報や個人情報を含む場合だけ台帳に記
入する。
イ 時間経過に伴い重要度が変化する情報資産は、重
要度が確定してから、又は組織で定めた未記入措
置期間が経過してから、台帳に記入する。
ウ 情報資産を紙媒体と電子データの両方で保存して
いる場合は、いずれか片方だけを台帳に記入する。
エ 利用しているクラウドサービスに保存している情
報資産を含めて、台帳に記入する。
(解答と解説)
問7
「リスクを管理する」アカウンタビリティ(説明責任)
及び権限をもつ人又は主体なので。
エ リスク所有者
問8
情報セキュリティ目的の”実施事項”、”責任者”、”達成
期限”のほかに、決定しなければならない事項は
ア ”必要な資源”及び”結果の評価方法”
問9
中小企業の情報セキュリティ対策ガイドラインです。
ア 様々な情報が混在し、重要度を一律に評価できな
いドキュメントファイルは、企業の存続を左右し
かねない情報や個人情報を含む場合だけ台帳に記
入する。
いえいえ、台帳に記入します。
イ 時間経過に伴い重要度が変化する情報資産は、重
要度が確定してから、又は組織で定めた未記入措
置期間が経過してから、台帳に記入する。
現時点でやります
ウ 情報資産を紙媒体と電子データの両方で保存して
いる場合は、いずれか片方だけを台帳に記入する。
情報資産は紙だけではないです。
エ 利用しているクラウドサービスに保存している情
報資産を含めて、台帳に記入する。
正解です。