ホーム > システムアーキテクト試験 > 2016年
システムアーキテクト試験 2016年 午前2 問23
JIS Q 27014:2015(情報セキュリティガバナンス)における、情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの“モニタ”はどれか。
ア:情報セキュリティの目的及び戦略について、指示を与えるガバナンスプロセス
イ:戦略的目的の達成を評価することを可能にするガバナンスプロセス(正解)
ウ:独立した立場からの客観的な監査、レビュー又は認証を委託するガバナンスプロセス
エ:利害関係者との間で、特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス
解説
JIS Q 27014:2015における情報セキュリティガバナンスの“モニタ”【午前2 解説】
要点まとめ
- 結論:モニタは「戦略的目的の達成を評価する」ガバナンスプロセスを指します。
- 根拠:JIS Q 27014:2015では、モニタは経営陣が情報セキュリティの効果を継続的に評価し、改善に役立てる役割と定義されています。
- 差がつくポイント:モニタは単なる監査や指示ではなく、戦略の達成度を評価し、経営判断に反映させるプロセスである点を理解することが重要です。
正解の理由
選択肢イは「戦略的目的の達成を評価することを可能にするガバナンスプロセス」とあり、モニタの本質である「情報セキュリティ戦略の効果測定と評価」に合致します。モニタは経営陣が情報セキュリティの実施状況を把握し、必要に応じて改善策を講じるための重要なプロセスです。
よくある誤解
モニタを「監査」や「指示」と混同しやすいですが、監査は独立した評価であり、指示は戦略策定の段階で行われるため、モニタとは異なります。
解法ステップ
- 問題文の「モニタ」が情報セキュリティガバナンスのどのプロセスかを確認する。
- JIS Q 27014:2015の定義を思い出し、「モニタ=評価・監視」の役割を理解する。
- 選択肢の内容を「指示」「評価」「監査」「情報交換」の4つに分類する。
- 「戦略的目的の達成を評価する」内容がモニタに該当することを確認する。
- 選択肢イを正解と判断する。
選択肢別の誤答解説
- ア:情報セキュリティの目的や戦略に指示を与えるのは「指示(ディレクション)」であり、モニタではありません。
- イ:正解。戦略的目的の達成を評価し、モニタリングを行うプロセスです。
- ウ:独立した監査やレビューは「監査(アシュアランス)」に該当し、モニタとは異なります。
- エ:利害関係者との情報交換は「コミュニケーション」プロセスであり、モニタではありません。
補足コラム
JIS Q 27014:2015は情報セキュリティガバナンスの国際的な標準規格であり、経営陣が情報セキュリティを効果的に管理・統治するための枠組みを示しています。モニタはPDCAサイクルの「Check」に相当し、戦略の実効性を評価して改善につなげる重要な役割を担います。
FAQ
Q: モニタと監査はどう違いますか?
A: モニタは経営陣が戦略の達成度を継続的に評価するプロセスで、監査は独立した第三者が客観的に評価する活動です。
A: モニタは経営陣が戦略の達成度を継続的に評価するプロセスで、監査は独立した第三者が客観的に評価する活動です。
Q: モニタはどの段階のプロセスですか?
A: モニタはPDCAサイクルの「Check(評価)」段階に該当し、戦略の効果測定を行います。
A: モニタはPDCAサイクルの「Check(評価)」段階に該当し、戦略の効果測定を行います。
関連キーワード: 情報セキュリティガバナンス, JIS Q 27014, モニタリング, PDCAサイクル, 情報セキュリティ評価