目次
はじめに
令和4年公開問題の情報セキュリティ管理分野について解説いたします。
重要な問題には🌟マークをつけています。
情報セキュリティ管理とは
情報セキュリティ管理の範囲は下記の通りです。
- リスクマネジメント
- 情報セキュリティ管理
- 個人情報保護
- 情報セキュリティ組織・機関
それでは、問題の解説に移りましょう。
ISMSとは
ISMSについての問題です。
ISMSとは|解答
- 解答(+ボタンを押してください。)
その他の選択肢について解説いたします。
ア 「運用の計画及び管理」
PDCAのD(Do:実行)の運用に該当します。
ウ「不適合の是正処置」
PDCAのA(Action:改善)に該当します。
エ「リスクの決定」
PDCAのP(Plan:計画)に該当します。
機密性、完全性と可用性とは🌟
機密性、完全性と可用性とは|解説
- 解説(+ボタンを押してください)
可用性とは、利用者が必要な時に必要な情報を使用できるようにすることです。
DDos攻撃によってWEBサイトがダウンすると、情報を利用できなくなるので可用性が低下します。
完全性とは、情報が書き換えられたりすることなく、完全な状態を保っていることです。
キーボードの打ち間違いによって、不正確なデータが入力された場合、完全性が低下します。
機密性とは、許可された人だけが情報にアクセスできるようにするなど、情報漏洩しないようにすることです。
PCがマルウェアに感染したことによって、個人情報が漏えいした場合、機密性が低下します。
リスク対応🌟
リスク対応|解答
- 解答(+ボタンを押してください)
ア 「リスク回避」
リスク回避とは、リスクを発生させる要因そのものを排除するという意味です。例えば、リスクの大きいサービスから撤退するといった行為です。
ウ「リスク低減」
リスク低減とは、リスクの発生確率を下げる。もしくはリスクが発生した際の影響の大きさを小さくする行為です。
発生確率と影響の大きさ両者への対策もリスク低減にあたります。例えば、セキュリティの脆弱性に対して、適切なセキュリティ対策を実施することにより、脅威が発生する可能性を下げることです。
エ「リスク保有」
リスク保有とは、特に対策をとらずその状態を受け入れることです。発生頻度が低く損害も小さいリスク、もしくはリスク対策コストが損害額を上回る場合などに採用される。
情報セキュリティポリシ🌟
情報セキュリティポリシ|解答
- 解答(+ボタンを押してください)
その他の選択肢は下記の理由により不適切です。
イ 「実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。」
実施手順は、対策基準を守るための詳細な手順をいうので、基本方針や対策基準を定めるための文書ではありません。
ウ「対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。」
対策基準は、基本方針の実現に向けて、遵守すべき行為や判断の基準なので、情報セキュリティポリシを作成するための文書の基準ではありません。
エ「対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。」
実施手順の方が詳しく記載されています。
リスク分析🌟
リスク分析|解答
- 解答(+ボタンを押してください)
「リスクの特定」・「リスク分析」・「リスク評価」
リスクマネジメントは、
「リスクの特定」・「リスク分析」・「リスク評価」・「リスク対応」
その他の選択肢は下記の理由により不適切です。
イ 「全ての情報資産を分析の対象にする必要がある。」
リスク分析は、リスクの特定で見つかったリスクが分析対象です。
ウ 「特定した全てのリスクについて、同じ分析技法を用いる必要がある。」
リスク分析は、いくつか手法があります。定量的リスク分析法もあれば、定性的リスク分析法もあります。
エ「リスクが受容可能かどうかを決定する必要がある。」
リスクが受容可能かどうかは、リスク対応のプロセスで決定します。
まとめ
令和4年の公開問題のうち、情報セキュリティ管理の分野について解説しました。
セキュリティの分野は、基本情報や応用情報の午後試験でも必須回答の分野です。
それでは、毎日を大事に!!