情報処理技術者試験 情報処理安全確保支援士(SC)
の令和3年度春問題、午前2を隔日2問ずつ解いてい
きます。
問題の解き方や考え方を理解し、暗記していきましょ
う。なお、問題の引用ルールはIPAに準じています。
問25
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組
について、JIS Q 27001:2014(情報セキュリティマネジメントシステム
−要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況
のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。
ア ソフトウェア開発におけるセキュリティ機能の試験は、開発期間が
終了した後に実施している。
イ ソフトウェア開発は、セキュリティ確保に配慮した開発環境におい
て行っている。
ウ ソフトウェア開発を外部委託している場合、外部委託先による開発
活動の監督・監視において、セキュリティ確保の観点を考慮してい
る。
エ パッケージソフトウェアを活用した開発において、セキュリティ確
保の観点から、パッケージソフトウェアの変更は必要な変更に限定
している。
(正解)
ア
(本日のクリティカルフレーズ)
・問題に潜む、解答を導くフレーズを赤字で示しています。
こうきたら、こう返すフレーズですので、要暗記です。
・紫字は解説となっています
問25
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組
について、JIS Q 27001:2014(情報セキュリティマネジメントシステム
−要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況
のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。
ア ソフトウェア開発におけるセキュリティ機能の試験は、開発期間が
終了した後に実施している。
イ ソフトウェア開発は、セキュリティ確保に配慮した開発環境におい
て行っている。
ウ ソフトウェア開発を外部委託している場合、外部委託先による開発
活動の監督・監視において、セキュリティ確保の観点を考慮してい
る。
エ パッケージソフトウェアを活用した開発において、セキュリティ確
保の観点から、パッケージソフトウェアの変更は必要な変更に限定
している。