平成22年 春期 システム監査技術者 午前II 問3

“JIS Q 27001:2006”の管理策を参考にして設定した、ノート型PCに対する物理的セキュリティ対策の妥当性を確かめるための監査手続きはどれか。

 ア  オフィス内を視察し、不在者のノート型PCが試乗されたキャビネットに保管されていることを確認する。
 イ  管理ルールを調べ、ノート型PCを社外に持ち出す場合には、セキュリティ管理者の許可を得るルールになっていることを確認する。
 ウ  教育計画及び教育記録を閲覧し、ノート型PCの安全管理についての社員教育が適切に行われていることを確認する。
 エ  実際にノートPCを操作して、パスワードを入力しないと利用可能にならない仕組みになっていることを確認する。


答え ア


解説

 ア  物理的セキュリティ対策です。
 イ  人的セキュリティ対策(規則)です。
 ウ  人的セキュリティ対策(教育)です。
 エ  論理的セキュリティ対策です。


キーワード
・ISMS

キーワードの解説
  • ISMS(Information Security Management System、情報セキュリティマネジメントシステム)
    情報に関するセキュリティを管理するための仕組で国際的にはISO化され、日本でもJISで規定されています。
    ISMSでは、どういった情報資産があるかを洗い出し、その情報資産についてのリスク分析を行い、リスク対策をし、セキュリティを高めます。
    ISMSでは、情報資産の洗い出しから始まって、リスク分析、対策の検討実施、効果の確認、見直しをPDCA(plan-do-check-act)サイクルを回しながら行っていきます。

もっと、「JIS Q 27001」について調べてみよう。

戻る 一覧へ 次へ