今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は1.3章:情報セキュリティマネジメントの基礎のCheck問題です。
【Q1】PDCAとは、何を意味する言葉か。
Plan:計画・策定
Do:導入・運用
Check:評価・点検
Action:見直し
【Q2】情報セキュリティマネジメントのPDCAサイクルにおいて、それぞれのステップで行うべきことを挙げよ。
・Plan
情報セキュリティマネジメント推進計画の立案
リスクアセスメントの実施
情報セキュリティポリシーの策定
・Do
情報セキュリティポリシーに基づく対策の実施・運用
情報セキュリティに関する教育の実施
システムの正常稼働、不正アクセスの監視
・Check
情報セキュリティポリシー遵守状況の評価
情報セキュリティポリシーの適切性の監査
・Action
情報セキュリティポリシーの見直し
問題箇所の是正・改善
【Q3】ISMSに関する規格の概要と構成を示せ。
Information Security Management Systemの略で、
国際規格はISO/IEC 27000~27007、TR27008,27010,27011などからなる。
組織が保有するすべての情報資産を取り巻くリスクを認識し、それに対する適切な管理策を適用することで、十分な情報セキュリティを確保・維持することを主な目的としている。
【Q4】ISMSの管理策は全部で何項目あるか。
ISO/IEC 27002において、14のカテゴリで合計114項目の管理策が定義されている。
【Q5】ISMS適合性評価制度における審査はどのようなステップで行われるか。
(予備審査)
文書審査
実地審査
【Q6】ISMS適合性評価制度の認証取得後にはどのようなことが求められるか。
継続審査(サーベイランス)
更新審査
【Q7】ISMS確立までの流れの概要を示せ。
ステップ0:ISMS認証取得に向けた準備
ステップ1:ISMSの適用範囲及び境界の定義
ステップ2:情報セキュリティ方針の確立
ステップ3:リスクアセスメントに対する取り組み方の決定
ステップ4:リスクの特定
ステップ5:リスク分析及び評価
ステップ6:リスク対応のための選択肢の特定及び評価
ステップ7:リスク対応のための管理策の決定
ステップ8:残留リスクの受容についてリスク所有者の承認を得る
ステップ9:適用宣言書の作成
【Q8】ISMSの適用範囲及び境界はどのような観点から示す必要があるか。
事業の特徴、組織、所在地、情報システム、情報の種類などの観点から、ISMSを適用する範囲を明確にする。
適用範囲と適用範囲外との境界線が明確になるよう、組織図、レイアウト図、ネットワーク構成図、システム構成図などを用いて定義する。
【Q9】リスクの分析及び評価ではどのような作業を行うか。
リスクの特定で洗い出したリスクの特質を理解し、そのレベル(リスクレベル)を算定する。
リスクアセスメントに対する取り組み方の決定で設定したリスクの受容基準に従い、洗い出されたリスクが受容できるか、あるいは対応が必要であるかを判断する。
【Q10】リスク対応のための管理策の決定ではどのような作業を行うか。
リスク対応情報の選択肢の実施に必要なすべての管理策を決定する。
決定した管理策をISO/IEC 27001の附属書Aに示されている目的及び管理策と比較し、必要な管理策が見落とされていないことを検証する。
管理策の適用によって軽減されるリスク、管理策を適用しても残留するリスクについて算出する。
選択した管理策をルールとして文書化する。
管理策の実施に伴う文書化した情報を明確にする。
【Q11】適用宣言書はどのような項目からなるか。
・選択した管理目的及び管理策と、それらを選択した理由
・実施済みの管理目的及び管理策
・ISO/IEC 27001の附属書Aに規定されている管理目的及び管理策の中で、適用除外としたものと、それが正当である理由
・管理策を実施するための文書化した情報(対策基準・手順書)
・管理策の実施に伴う文書化した情報(記録・証拠)
【Q12】ISMSの導入及び運用段階における主な作業を示せ。
・管理策を実施する
・ISMSの浸透を図る
・記録を収集する
・内部監査を実施し、問題点を改善する
【Q13】ISMSの浸透を図るためにはどのようなことを行うべきか。
・ISMS教育を実施する
・壁や扉にポスターやキャッチコピーを提示する
・ハンドブックを配布する
【Q14】ISMSにおける記録の重要性と管理におけるポイントについて説明せよ。
審査を受ける上で重要な証拠書類になる。
文書化した情報として整理しておく必要があり、不測の事態が発生した時の対応記録などの通常業務の中では記録が残らないものに関しては、訓練などを実施し、その結果を記録として残すようにする。
【Q15】ISMSにおける内部監査の目的について説明せよ。
ISMSを常に有効な状態に保つために実施する。
私が使っているのは2022年版のテキストですが、2023年版も出ています。