サンプル問題午後I改題：情報セキュリティアドミニストレータ試験対策

TOP ＞ Web教科書＞企業活動一般のセキュリティ規定の作成＞サンプル問題午後I改題

企業活動一般のセキュリティ規定の作成《演習問題》

サンプル問題午後I改題

〔S社の情報セキュリティ対策基準の策定にかかわる業務手順〕

経営企画室長は､今回が初めての試みであり､外部ノウハウの活用とと
もに全社的な取組みが必要と考え､下図に示す業務手順を定めた｡


　　　図．情報セキュリティ対策基準の策定にかかわる業務手順

┌─────────┐　┌─────────────────────┐
│プロジェクト体制  │　│（省略）                                  │
│の確立　　　　　　│　│                                          │
└─────────┘　└─────────────────────┘
　　　　↓                
┌─────────┐　┌─────────────────────┐
│　　【　b　】　　 │　│(1)【　a　】に対する脆弱性を洗い出す。　　│
│　　　　　　　　　│　│(2)洗い出された脆弱性に対し、セキュリティ │
└─────────┘　│　脅威が与える影響度、損失の大きさ及びその│
　　　　｜　　　　　　　│　発生頻度を分析する。　　　　　　　　　　│
　　　　｜　　　　　　　│(3)情報セキュリティ対策基準を決定するため │
　　　　｜　　　　　　　│　の判断材料とする。　　　　　　　　　　  │
        ↓              └─────────────────────┘
┌─────────┐  ┌─────────────────────┐
│情報セキュリティ　│  │(1)【　b　】の結果に基づき、どのような対策│
│対策基準の策定　　│  │　を講じるかを決定する。                  │
└─────────┘  │(2)【　a　】ごとに目標とするセキュリティレ│
　　　　｜　　　　　　　│　ベルを明確にする。                      │
　　　　｜　　　　　　　│(3)情報セキュリティ対策基準に反映する項目 │
　　　　｜　　　　　　　│　を決定する。                            │
　　　　｜　　　　　　　│(4)情報セキュリティ対策のための予算を確保 │
　　　　｜　　　　　　　│　する。                                  │
　　　　↓　　　　　　　└─────────────────────┘
┌─────────┐　┌─────────────────────┐
│正式決定と社内通知│　│(1)社長の承認を得る。　　　　　　　　　　 │
│　　　　　　　　　│　│(2)情報セキュリティ管理者で社内に周知する │
└─────────┘　│(3)【　c　】を実施する。　　　　　　　　　│
　　　　　　　　　　　　└─────────────────────┘

設問１
本文中の【　a　】に入れる適切な字句を、5文字以内で答えよ｡



設問２
本文中の【　b　】に入れる適切な字句を、10文字以内で答えよ｡



設問３
本文中の【　c　】に入れる適切な字句を、10文字以内で答えよ｡

解　説

設問１

難易度　★
解答

　情報資産

　◇情報資産　とは。。。

　　情報システムを構成する様々な要素で、守るべき価値を持つものが
　　情報資産であり、コンピュータのハードウェア、ソフトウェア、ネ
　　ットワーク、各種データ、記憶媒体など様々なものがあります。

設問２

難易度　★
解答

　リスク分析

　◇リスクマネジメント　とは。。。

　　組織の情報資産の機密性、完全性、可用性を阻害する可能性のある
　　潜在的な不確実性要因を洗い出し、それに対して最小のコストで総
　　合的な対策を講じることにより、その顕在化を予防、抑制、防止、
　　検知、修復して適切な情報セキュリティレベルの確保・維持を図る
　　手法のことです。

設問３

難易度　★
解答

　情報セキュリティ教育

　情報セキュリティマネジメントを企業に定着させるためには、組織
　文化にセキュリティ文化を組み込む必要があります。そのためには、
　まず情報セキュリティマネジメントが正しく運用されていなければ
　なりません。次に、人への定着を通じて組織への定着を図ります。
　そのために、情報セキュリティ教育を定期的に実施する必要があり
　ます。

　◇情報セキュリティ基本方針　とは。。。

　　情報セキュリティに対する組織としての統一的かつ基本的な考え
　　方や方針を示すもので、単に「ポリシー」または「基本ポリシー」
　　とも呼ばれます。

　　情報セキュリティポリシーの最上位に位置付けられており、
　　情報セキュリティポリシーの目的、対象範囲、維持管理体制、
　　義務、罰則などが記述されます。

　◇情報セキュリティ対策基準　とは。。。

　　情報セキュリティ基本方針を実践し、適切な情報セキュリティレ
　　ベルを確保・維持するための遵守事項や基準であり、
　　「スタンダード」とも呼ばれます。

　◇情報セキュリティ対策対策手続、規程類　とは。。。

　　情報セキュリティ対策基準を実施するための詳細な手続や手順で
　　あり、「プロシージャ」とも呼ばれます。各スタンダードをより
　　具体化し、各部署において実際に運用するための手続や手順が記
　　述されます。

　◇情報セキュリティポリシーのマネジメントサイクル

　　情報セキュリティポリシーは、策定しただけでは意味がなく、情報セ
　　キュリティポリシーに従い、運用を行い、日々変化していく業務、環
　　境に対応すべく継続的に改善を行う必要があります。

　　・Plan
　　　組織の全般的な基本方針、および目標に沿った結果を出すための、
　　　リスクマネジメント、および情報セキュリティの改善に関連する
　　　情報セキュリティ基本方針、目標、対象、プロセス、および手順
　　　を確立する。

　　・Do
　　　その情報セキュリティ基本方針、管理策、プロセス、および手順
　　　を導入し、運用する。

　　・Check
　　　情報セキュリティ基本方針、目標、および実際の経験に照らして、
　　　プロセスの実施状況を評価し、可能な場合、これを測定し、その
　　　結果を見直しのために経営陣に報告する。

　　・Act
　　　ISMSの継続的な改善を達成するために、マネジメントレビューの
　　　結果に基づいて是正処置、および予防処置を講ずる。

　◇ISMS適合性評価制度　とは。。。

　　経済産業省が実施してきた情報システム安全対策実施事業所認定制
　　度（安対制度）は改革により、従来の制度が2001年3月で廃止され、
　　ISO17799（BS7799）に沿った新しい認定制度が開始されました。
　　このため、財団法人日本情報処理開発協会（JIPDEC）から情報セキ
　　ュリティマネジメントシステム適合性評価制度が発表されました。
　　ISMS適合性評価制度とは、組織のセキュリティ管理に関する適合性
　　を客観的に評価する制度です。

サンプル問題午後I改題：情報セキュリティアドミニストレータ試験対策