令和元年秋期試験問題 午前Ⅱ 問7

JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニター"はどれか。

  • 情報セキュリティの目的及び戦略について,指示を与えるガバナンスプロセス
  • 戦略的目的の達成を評価することを可能にするガバナンスプロセス
  • 独立した立場からの客観的な監査,レビュー又は認証を委託するガバナンスプロセス
  • 利害関係者との間で,特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
JIS Q 27014は、情報セキュリティガバナンスの概念及び原則を示したJIS規格です。

この規格では、情報セキュリティガバナンスを「組織の情報セキュリティ活動を指導し,管理するシステム」と定義し、情報セキュリティガバナンスの目的を3つ挙げています。
戦略の整合
情報セキュリティの目的及び戦略を,事業の目的及び戦略に合わせる。
価値の提供
経営陣及び利害関係者に価値を提供する。
説明責任
情報リスクに対して適切に対処されていることを確実にする。
そして、情報セキュリティを統治するためのプロセスとして、評価、指示、モニター、コミュニケーション及び保証の5つを定義しています。これが設問に記載されているガバナンスプロセスです。
評価
現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達成度を考慮し,将来の戦略的目的の達成を最適化するために必要な調整を決定するプロセス
指示
経営陣が,実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるプロセス
モニター
経営陣が戦略的目的の達成を評価することを可能にするプロセス
コミュニケーション
経営陣及び利害関係者が,双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のプロセス
保証
経営陣が独立した客観的な監査,レビュー又は認証を委託するプロセス
選択肢の各記述とガバナンスプロセスは次のように対応します。
  • "指示"の説明です。
  • 正しい。"モニター"の説明です。
  • "保証"の説明です。
  • "コミュニケーション"の説明です。

Pagetop