ホーム > 情報処理安全確保支援士試験 > 2018年 秋期
情報処理安全確保支援士試験 2018年 秋期 午前2 問24
ITサービスマネジメントの情報セキュリティ管理プロセスに対して、JISQ20000-2012サービスマネジメントシステム要求事項が要求している事項はどれか。
ア:CMDBに記録されているCIの原本を、セキュリティが保たれた物理的又は電子的な格納庫で管理しなければならない。
イ:潜在的な問題を低減させるために、予防処置をとらなければならない。
ウ:変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。(正解)
エ:変更要求の受入れについての意思決定では、リスク、事業利益及び技術的実現可能性を考慮しなければならない。
解説
ITサービスマネジメントの情報セキュリティ管理プロセスに対するJISQ20000-2012の要求事項【午前2 解説】
要点まとめ
- 結論:JISQ20000-2012は変更要求が情報セキュリティ基本方針や管理策に与える影響を評価することを要求しています。
- 根拠:サービスマネジメントシステムの一環として、情報セキュリティの維持・向上を目的に変更管理プロセスでの影響評価が必須です。
- 差がつくポイント:変更管理と情報セキュリティの連携を理解し、単なるリスク評価ではなく「情報セキュリティ基本方針との整合性評価」が求められる点に注意しましょう。
正解の理由
選択肢ウは、JISQ20000-2012の情報セキュリティ管理プロセスにおける重要な要求事項を正確に表しています。変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価することは、サービスの安全性と信頼性を確保するために不可欠です。これにより、セキュリティリスクの増大を未然に防ぎ、サービスの継続的な改善を支援します。
よくある誤解
変更管理は単に技術的な変更の承認手続きと誤解されがちですが、JISQ20000-2012では情報セキュリティの観点からの影響評価も必須です。単なるリスク評価や利益判断だけでは不十分です。
解法ステップ
- JISQ20000-2012の情報セキュリティ管理プロセスの目的を確認する。
- 変更管理プロセスにおける情報セキュリティの役割を理解する。
- 各選択肢が情報セキュリティ管理の要求事項に合致しているか検証する。
- 「変更要求が情報セキュリティ基本方針及び管理策に与える影響の評価」が明確に示されている選択肢を選ぶ。
選択肢別の誤答解説
- ア: CMDBの管理は重要ですが、JISQ20000-2012の情報セキュリティ管理プロセスの直接的な要求事項ではありません。
- イ: 予防処置はITサービスマネジメント全般で重要ですが、情報セキュリティ管理プロセスの具体的な要求事項としては不十分です。
- ウ: 変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価することは、JISQ20000-2012の明確な要求事項です。
- エ: 変更要求の受入れ判断にリスクや事業利益を考慮するのは一般的ですが、情報セキュリティ管理プロセスの特定要求事項とは異なります。
補足コラム
JISQ20000-2012はITサービスマネジメントの国際標準ISO/IEC 20000の日本版であり、サービスの品質と安全性を体系的に管理する枠組みを提供します。特に情報セキュリティ管理は、サービスの信頼性を維持するために不可欠な要素であり、変更管理プロセスとの連携が強調されています。
FAQ
Q: なぜ変更要求の影響評価が重要なのですか?
A: 変更によって情報セキュリティの脆弱性が生じる可能性があるため、事前に影響を評価しリスクを低減する必要があります。
A: 変更によって情報セキュリティの脆弱性が生じる可能性があるため、事前に影響を評価しリスクを低減する必要があります。
Q: CMDBの管理は情報セキュリティ管理プロセスに含まれますか?
A: CMDBは構成管理の一部であり、情報セキュリティ管理プロセスの直接的な要求事項ではありませんが、間接的に関連します。
A: CMDBは構成管理の一部であり、情報セキュリティ管理プロセスの直接的な要求事項ではありませんが、間接的に関連します。
関連キーワード: JISQ20000-2012, 情報セキュリティ管理, 変更管理, ITサービスマネジメント, 影響評価