ホーム > 情報処理安全確保支援士試験 > 2016年 春期
情報処理安全確保支援士試験 2016年 春期 午前2 問24
ITサービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1 が要求している事項はどれか。
ア:CMDBに記録されているCIの原本を,物理的又は電子的にセキュリティが保たれた書庫で管理しなければならない。
イ:潜在的な問題を低減させるために,予防処置をとらなければならない。
ウ:変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。(正解)
エ:変更要求の受入れについての意思決定では,リスク,事業利益及び技術的実現可能性を考慮しなければならない。
解説
ITサービスマネジメントの情報セキュリティ管理プロセスに対して,JIS Q 20000-1 が要求している事項はどれか【午前2 解説】
要点まとめ
- 結論:JIS Q 20000-1は変更要求が情報セキュリティ基本方針や管理策に与える影響の評価を必須としています。
- 根拠:情報セキュリティ管理はサービスマネジメントの重要な要素であり、変更がセキュリティに及ぼすリスクを事前に評価することが求められるためです。
- 差がつくポイント:単なる変更管理ではなく、情報セキュリティの観点から変更の影響評価を行う点がJIS Q 20000-1の特徴です。
正解の理由
ウ: 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。
JIS Q 20000-1はITサービスマネジメントの国際規格であり、情報セキュリティ管理プロセスにおいては、変更がセキュリティ方針や管理策にどのような影響を及ぼすかを評価し、リスクを適切に管理することを要求しています。これにより、サービスの安全性と信頼性を維持します。
JIS Q 20000-1はITサービスマネジメントの国際規格であり、情報セキュリティ管理プロセスにおいては、変更がセキュリティ方針や管理策にどのような影響を及ぼすかを評価し、リスクを適切に管理することを要求しています。これにより、サービスの安全性と信頼性を維持します。
よくある誤解
- CMDBの管理は重要ですが、JIS Q 20000-1で「原本を物理的に保管する」ことまでは要求していません。
- 予防処置はITILなどで重要視されますが、JIS Q 20000-1の情報セキュリティ管理の直接的な要求事項ではありません。
解法ステップ
- 問題文の「JIS Q 20000-1」と「情報セキュリティ管理プロセス」に注目する。
- 各選択肢がJIS Q 20000-1の規定に合致しているかを検討する。
- 情報セキュリティ管理に関する変更管理の要件を思い出す。
- 変更がセキュリティ方針や管理策に与える影響評価の重要性を確認する。
- 最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア: CMDBのCI原本を物理的・電子的に書庫で管理することはJIS Q 20000-1の直接的な要求事項ではありません。
- イ: 予防処置は問題管理の観点で重要ですが、JIS Q 20000-1の情報セキュリティ管理プロセスの必須要件とは異なります。
- ウ: 正解。変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価することが求められます。
- エ: 変更要求の受入れ判断にリスクや事業利益を考慮するのは一般的ですが、情報セキュリティ管理プロセスの特定要件としては不十分です。
補足コラム
JIS Q 20000-1はITサービスマネジメントの国際規格ISO/IEC 20000-1を日本向けに翻訳・適用したもので、サービスの品質と安全性を保証するための管理体系を定めています。特に情報セキュリティ管理は、サービス変更時のリスク評価を通じてサービスの継続性と信頼性を確保する役割を担っています。
FAQ
Q: JIS Q 20000-1で情報セキュリティ管理はどのように位置づけられていますか?
A: 情報セキュリティ管理はITサービスの品質維持に不可欠なプロセスであり、変更管理と連携してリスク評価を行うことが求められます。
A: 情報セキュリティ管理はITサービスの品質維持に不可欠なプロセスであり、変更管理と連携してリスク評価を行うことが求められます。
Q: CMDBの管理はJIS Q 20000-1でどの程度規定されていますか?
A: CMDBの存在や管理は重要ですが、物理的な原本保管など詳細な管理方法は規定されていません。
A: CMDBの存在や管理は重要ですが、物理的な原本保管など詳細な管理方法は規定されていません。
関連キーワード: JIS Q 20000-1, ITサービスマネジメント, 情報セキュリティ管理, 変更管理, リスク評価