セキュリティ

情報セキュリティ管理(情報資産・リスク・ISMS)の予想問題・解説

情報セキュリティマネジメント試験(SG)の「情報セキュリティ管理(情報資産・リスク・ISMS)」分野のオリジナル予想問題を6問、正解と解説つきで無料公開しています。登録なしで読めます。

※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。

この分野について

技術ではなく“組織の仕組み”として情報セキュリティを回す、SGの中核分野です。

まず守る対象=情報資産を洗い出し、重要度をつけます。次にリスクアセスメント(リスク特定→分析→評価)で「どのリスクにどれだけ手を打つか」を決め、リスク対応(低減・回避・移転・保有)を選びます。すべてに完璧な対策はできないので、優先順位づけが要になります。

この一連を方針(情報セキュリティポリシー)として定め、PDCA(計画→実行→点検→改善)で継続的に回す枠組みがISMSで、その要求事項の規格がJIS Q 27001(ISO/IEC 27001)です。「一度作って終わり」ではなく回し続ける、という考え方がSGの背骨になります。

押さえておきたい用語

情報資産
守るべき情報とその媒体・システム。重要度を評価する。
リスクアセスメント
リスクを特定・分析・評価する一連の手続き。
リスク対応
低減・回避・移転(保険等)・保有(受容)から選ぶ。
ISMS
情報セキュリティを組織的・継続的に管理する仕組み。
JIS Q 27001
ISMSの要求事項を定めた規格(ISO/IEC 27001の国内版)。
情報セキュリティポリシー
組織の方針・基準・手順を定めた文書体系。

学習のポイント

  • リスク対応4種(低減・回避・移転・保有)の具体例を言えるように。
  • ISMSは「PDCAで継続改善」がキーワード。単発の対策と区別する。
  • リスクアセスメントの順序(特定→分析→評価)を固定で覚える。

予想問題と解説(6問)

  1. 科目A・単一選択

    リスク対応のうち「リスク回避」に該当するものはどれか。

    • サイバー保険に加入して損害に備える
    • セキュリティ対策を強化して発生確率を下げる
    • リスクの大きい新規事業への参入そのものを取りやめる 正解
    • 影響が小さいのでそのまま受け入れる
    解説

    正解ウ。リスク回避はリスク源となる活動自体をやめること。保険は移転,対策強化は低減,受け入れは保有。4分類(回避・低減・移転・保有)で整理する。

  2. 科目A・単一選択

    ISMSのPDCAサイクルにおいて,内部監査や有効性のレビューを行う段階はどれか。

    • Check 正解
    • Plan
    • Do
    • Act
    解説

    正解ア。Plan=計画,Do=導入・運用,Check=監査・レビューで評価,Act=是正・改善。ISMSは継続的改善が前提。

  3. 科目A・単一選択

    リスク対応の「リスク移転」に該当するものはどれか。

    • 対策を強化して発生確率を下げる
    • 業務を外部委託し,契約で損害賠償を取り決める 正解
    • リスクのある活動自体をやめる
    • 影響が小さいので受け入れる
    解説

    正解イ。リスク移転は保険加入や外部委託などで損失の負担を他者に移すこと。対策強化=低減,活動中止=回避,受け入れ=保有。

  4. 科目B・単一選択

    委託元のA社が行うべき対応として最も適切なものはどれか。

    • 委託契約で安全管理措置や再委託の条件を定め,B社の取扱状況を定期的に確認・監督する 正解
    • 委託したらB社に任せ,以後は一切関与しない
    • 口頭で「注意して扱ってほしい」と伝えるだけにする
    • 個人データの管理責任はすべてB社にあると考える
    解説

    正解ア。個人情報保護法は委託先の監督義務を定めている。契約で安全管理措置・再委託条件を明確化し,定期的に取扱状況を確認・監督する必要がある。委託しても委託元の責任は残る。

  5. 科目A・単一選択

    ISMSにおけるPDCAサイクルのうち,「リスクアセスメントの結果に基づき,管理策を選定して導入・運用する」段階はどれか。

    • Plan
    • Do 正解
    • Check
    • Act
    解説

    正解イ。Planで方針・リスクアセスメント・管理策の計画を立て,Do(運用)で管理策を実際に導入・運用する。Checkで有効性を監視・レビューし,Actで是正・改善を行う。

  6. 科目A・単一選択

    リスク対応のうち「リスク移転(共有)」に該当するものはどれか。

    • 保険に加入して損害発生時の損失を補填できるようにする 正解
    • 危険な業務そのものを廃止してリスク要因をなくす
    • セキュリティ対策を講じて発生確率や影響を下げる
    • 対策費用が損失額を上回るため対策せず受け入れる
    解説

    正解ア。リスク移転(共有)は保険や外部委託などで損失の負担を他者と分担すること。2つ目はリスク回避,3つ目はリスク低減,4つ目はリスク保有(受容)。

続きを解いて実力チェック 無料登録で練習モード・本番モード・弱点分析が使えます →