ホーム > 情報処理安全確保支援士試験 > 2019年 秋期
情報処理安全確保支援士試験 2019年 秋期 午前2 問07
JIS Q 270142015 (情報セキュリティガバナンス) における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの “モニタ” はどれか。
ア:情報セキュリティの目的及び戦略について,指示を与えるガバナンスプロセス。
イ:戦略的目的の達成を評価することを可能にするガバナンスプロセス。(正解)
ウ:独立した立場からの客観的な監査,レビュー又は認証を委託するガバナンスプロセス。
エ:利害関係者との間で、特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス。
解説
JIS Q 27014:2015 情報セキュリティガバナンスにおける「モニタ」【午前2 解説】
要点まとめ
- 結論:モニタは「戦略的目的の達成を評価する」ガバナンスプロセスである。
- 根拠:JIS Q 27014:2015では、モニタは経営陣が情報セキュリティの効果を継続的に評価し、目標達成度を確認する役割を担う。
- 差がつくポイント:モニタは単なる監査や情報交換ではなく、戦略の達成度を評価する点で他のプロセスと明確に区別される。
正解の理由
選択肢イは「戦略的目的の達成を評価することを可能にするガバナンスプロセス」とあり、モニタの本質を正確に表現しています。モニタは経営陣が設定した情報セキュリティの目標や戦略が適切に実行されているかを継続的に評価し、必要に応じて改善を促す役割を持つため、評価プロセスに該当します。
よくある誤解
モニタを「監査」や「情報共有」と混同しやすいですが、監査は独立性を持つ第三者による評価であり、情報交換はコミュニケーションの一環です。モニタは経営陣自身が戦略の達成度を評価するプロセスです。
解法ステップ
- 問題文の「モニタ」が経営陣のガバナンスプロセスであることを確認する。
- JIS Q 27014:2015のガバナンスプロセスの定義を思い出す。
- 「モニタ」は戦略的目的の達成度を評価するプロセスであることを理解する。
- 選択肢の内容を「評価」「監査」「指示」「情報交換」の観点で比較する。
- 「評価」に該当する選択肢イを正解と判断する。
選択肢別の誤答解説
- ア: 「指示を与える」プロセスはガバナンスの一部だが、モニタではなく「指導」や「方針設定」に該当する。
- イ: 戦略的目的の達成を評価するプロセスであり、モニタの定義に合致するため正解。
- ウ: 「独立した監査やレビュー」はモニタとは異なり、監査プロセスに該当する。
- エ: 「利害関係者との情報交換」はコミュニケーションプロセスであり、モニタとは異なる。
補足コラム
JIS Q 27014:2015は情報セキュリティガバナンスの枠組みを示し、経営陣が情報セキュリティを統治するための役割やプロセスを明確化しています。モニタはPDCAサイクルの「Check」に相当し、戦略の効果測定と改善の基盤となります。
FAQ
Q: モニタと監査の違いは何ですか?
A: モニタは経営陣が自ら戦略の達成度を評価するプロセスで、監査は独立した第三者が客観的に評価する活動です。
A: モニタは経営陣が自ら戦略の達成度を評価するプロセスで、監査は独立した第三者が客観的に評価する活動です。
Q: モニタはどのように情報セキュリティに役立ちますか?
A: モニタにより戦略の効果を継続的に評価し、問題点を早期に発見して改善策を講じることが可能になります。
A: モニタにより戦略の効果を継続的に評価し、問題点を早期に発見して改善策を講じることが可能になります。
関連キーワード: 情報セキュリティガバナンス, JIS Q 27014, モニタリング, ガバナンスプロセス, PDCAサイクル