【2021年3月24日、問題を追加】
▼ISMSは情報セキュリティを実行するための仕組み。専門のコンサルタントが活躍する分野だけに奥が深い。高校情報1ではISMSで取り上げる重要項目をピックアップして説明している。おおざっぱに表で整理した。
▼Iパス、FEでは試験の問題文に「ISMSでは」という形で登場する。表の下にIパスの過去問を3つ用意した。解答が見えやすいところに置いてます。見たくなる誘惑と戦うもよし、見てから問題文を確認するもよし。
問68 リスク対応を、移転、回避、低減及び保有に分類するとき、次の対応はどれに分類されるか。
[対応]
職場における机上の書類からの情報漏えい対策として、退社時のクリアデスクを導入した。
ア 移転
イ 回避
ウ 低減
エ 保有
(Iパス・令和2年度10月分、解答ウ)
問69 ISMSの確立、実施、維持及び継続的改善における次の実施項目のうち、最初に行うものはどれか。
ア 情報セキュリティリスクアセスメント
イ 情報セキュリティリスク対応
ウ 内部監査
エ 利害関係者のニーズと期待の理解
(Iパス・令和2年度10月、解答エ)
問84 ISMSの情報セキュリティリスク対応における、人的資源に関するセキュリティ管理策の記述として、適切でないものはどれか。
ア 雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行う。
イ 情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて、周知する。
ウ 組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての重要員に要求するが、業務を委託している他社には要求しないようにする。
エ 退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。
(Iパス・令和2年度10月、解答ウ)
問56 次の作業a~dのうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a リスク特定
b リスク分析
c リスク評価
d リスク対応
ア a, b イ a, b, c
ウ b, c, d エ c, d
(Iパス・令和元年度秋期、解答イ)
問86 情報セキュリティのリスクマネジメントにおけるリスク対応を、リスクの移転、回避、変容及び低減の四つに分類するとき、リスク低減の例として、適切なものはどれか。
ア インターネット上で、特定利用者に対して、機密に属する情報の提供サービスを行っていたが、情報漏えいのリスクを考慮して、そのサービスから撤退する。
イ 個人情報が漏えいした場合に備えて、保険に加入する。
ウ サーバ室には限られた管理者しか入室できず、機器盗難のリスクは低いので、追加の対策は行わない。
エ ノートPCの紛失、盗難による情報漏えいに備えて、ノートPCのHDDに保存する情報を暗号化する。
(Iパス・令和元年度秋期、解答エ)
問68 情報セキュリティにおけるリスクアセスメントの説明として、適切なものはどれか。
ア PCやサーバに侵入したウィルスを、感染拡大のリスクを抑えながら駆除する。
イ 識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断する。
ウ 事前に登録された情報を使って、システムの利用者が本人であることを確認する。
エ 情報システムの導入に際し、費用対効果を算出する。
(Iパス・平成30年度秋期、解答イ)
問70 ISMSにおける情報セキュリティ方針の説明として、適切なものはどれか。
ア 個人情報を取り扱う事業者が守るべき義務を規定するものである。
イ 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
ウ 情報セキュリティに対する組織の意図を示し、方向付けをするものである。
エ 保護すべき情報を管理しているサーバのセキュリティ設定値を規定するものである。
(Iパス・平成30年度秋期、解答ウ)
問72 ISMSの導入効果に関する次の記述中のa, bに入れる字句の適切な組み合わせはどれか。
(a)マネジメントプロセスを運用することによって、情報の機密性、(b)及び可用性をバランス良く維持、改善し、(a)を適切に管理しているという信頼を利害関係者に与える。
(Iパス・平成31年度春期、解答ウ)
問99 ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
a あらかじめ定めた基準によって、分析したリスクの優先順付けを行う。
b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
c リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。
ア a
イ a, b
ウ b
エ c
(Iパス・平成30年度秋期、解答ア)
次は、情報セキュリティ組織・機関の問題
問98 コンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織を何と呼ぶか。
ア CSIRT
イ ISMS
ウ ISP
エ MVMO
(Iパス・平成30年度、秋期、解答ア)