情報セキュリティマネジメント試験(SG)の「情報セキュリティ管理(情報資産・リスク・ISMS)」分野のオリジナル予想問題を6問、正解と解説つきで無料公開しています。登録なしで読めます。
※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。
技術ではなく“組織の仕組み”として情報セキュリティを回す、SGの中核分野です。
まず守る対象=情報資産を洗い出し、重要度をつけます。次にリスクアセスメント(リスク特定→分析→評価)で「どのリスクにどれだけ手を打つか」を決め、リスク対応(低減・回避・移転・保有)を選びます。すべてに完璧な対策はできないので、優先順位づけが要になります。
この一連を方針(情報セキュリティポリシー)として定め、PDCA(計画→実行→点検→改善)で継続的に回す枠組みがISMSで、その要求事項の規格がJIS Q 27001(ISO/IEC 27001)です。「一度作って終わり」ではなく回し続ける、という考え方がSGの背骨になります。
リスク対応のうち「リスク回避」に該当するものはどれか。
正解ウ。リスク回避はリスク源となる活動自体をやめること。保険は移転,対策強化は低減,受け入れは保有。4分類(回避・低減・移転・保有)で整理する。
ISMSのPDCAサイクルにおいて,内部監査や有効性のレビューを行う段階はどれか。
正解ア。Plan=計画,Do=導入・運用,Check=監査・レビューで評価,Act=是正・改善。ISMSは継続的改善が前提。
リスク対応の「リスク移転」に該当するものはどれか。
正解イ。リスク移転は保険加入や外部委託などで損失の負担を他者に移すこと。対策強化=低減,活動中止=回避,受け入れ=保有。
委託元のA社が行うべき対応として最も適切なものはどれか。
正解ア。個人情報保護法は委託先の監督義務を定めている。契約で安全管理措置・再委託条件を明確化し,定期的に取扱状況を確認・監督する必要がある。委託しても委託元の責任は残る。
ISMSにおけるPDCAサイクルのうち,「リスクアセスメントの結果に基づき,管理策を選定して導入・運用する」段階はどれか。
正解イ。Planで方針・リスクアセスメント・管理策の計画を立て,Do(運用)で管理策を実際に導入・運用する。Checkで有効性を監視・レビューし,Actで是正・改善を行う。
リスク対応のうち「リスク移転(共有)」に該当するものはどれか。
正解ア。リスク移転(共有)は保険や外部委託などで損失の負担を他者と分担すること。2つ目はリスク回避,3つ目はリスク低減,4つ目はリスク保有(受容)。