情報処理安全確保支援士試験 2012年春期午前2 問24

ITサービスマネジメントの情報セキュリティ管理プロセスに対して, JIS Q 20000-1が要求している事項はどれか。

ア：潜在的な問題を低減させるために,予防処置を取らなければならない。

イ：ディジタルの構成品目の原本を,物理的又は電子的にセキュリティが保たれた書庫で管理しなければならない。

ウ：変更要求に対しては,そのリスク, 影響及び事業利益について, アセスメントを行わなければならない。

エ：変更を実装する前に、変更がセキュリティ管理策に与える影響のアセスメントを行わなければならない。（正解）

解説

ITサービスマネジメントの情報セキュリティ管理プロセスに対して, JIS Q 20000-1が要求している事項はどれか【午前2 解説】

要点まとめ

結論：JIS Q 20000-1は変更実装前にセキュリティ管理策への影響を評価することを要求しています。
根拠：情報セキュリティ管理はサービス変更時のリスクを未然に把握し、適切な対策を講じることが重要だからです。
差がつくポイント：変更前の影響アセスメントの有無が、セキュリティ事故防止の鍵となり、JIS Q 20000-1の具体的な要求事項に該当します。

正解の理由

選択肢エ「変更を実装する前に、変更がセキュリティ管理策に与える影響のアセスメントを行わなければならない。」は、JIS Q 20000-1の情報セキュリティ管理プロセスにおける重要な要求事項です。
この規格はITサービスの品質と安全性を確保するため、変更管理においてセキュリティリスクを事前に評価し、問題発生を防止することを明確に求めています。
変更実装前の影響評価は、サービスの安定運用と情報資産の保護に直結するため、規格の核心的な要件です。

よくある誤解

変更管理全般のリスク評価は重要ですが、JIS Q 20000-1では特に「セキュリティ管理策への影響評価」を変更実装前に行うことが求められています。
単なる予防処置や物理的な原本管理は別規格や運用ルールに該当し、JIS Q 20000-1の直接的な要求事項ではありません。

解法ステップ

JIS Q 20000-1の情報セキュリティ管理プロセスの目的を理解する。
変更管理におけるセキュリティリスク評価の重要性を確認する。
選択肢の中で「変更実装前のセキュリティ影響アセスメント」に該当するものを探す。
他の選択肢が規格の要求事項と合致しないことを確認する。
正解の選択肢エを選ぶ。

選択肢別の誤答解説ステップ

ア: 予防処置は重要ですが、JIS Q 20000-1の情報セキュリティ管理プロセスの具体的な要求事項としては明示されていません。
イ: デジタル構成品目の原本管理は物理的・電子的な管理ですが、これはJIS Q 20000-1の情報セキュリティ管理プロセスの直接的な要求事項ではありません。
ウ: 変更要求のリスクや事業利益のアセスメントは変更管理の一部ですが、JIS Q 20000-1では特に「セキュリティ管理策への影響評価」が強調されています。
エ: 変更実装前にセキュリティ管理策への影響アセスメントを行うことは、JIS Q 20000-1の明確な要求事項であり正解です。

補足コラム

JIS Q 20000-1はITサービスマネジメントの国際規格ISO/IEC 20000-1の日本版であり、サービスの品質と安全性を保証するための枠組みを提供します。
特に情報セキュリティ管理プロセスは、サービス変更時のリスク管理を強化し、サービス停止や情報漏洩などの事故を未然に防ぐ役割を担っています。
変更管理は単なる手続きではなく、セキュリティ面の影響評価を含めた包括的な管理が求められます。

FAQ

Q: なぜ変更実装前にセキュリティ影響のアセスメントが必要ですか？
A: 変更によるセキュリティリスクを事前に把握し、事故や情報漏洩を防止するためです。

Q: JIS Q 20000-1はどのような組織に適用されますか？
A: ITサービスを提供する組織全般に適用され、サービス品質とセキュリティの管理を目的としています。

Q: 変更管理と情報セキュリティ管理はどう関係していますか？
A: 変更管理はサービスの安定運用を目的とし、情報セキュリティ管理はその中でセキュリティリスクを評価・対策する役割を担います。

関連キーワード: JIS Q 20000-1, ITサービスマネジメント, 情報セキュリティ管理, 変更管理, セキュリティリスクアセスメント

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2012年 春期 午前2 問24

解説