第２章まとめ

116問 • 1年前

平川巧真

通報

問題一覧

リスク危険度の３要素をすべて答えろ

発生頻度, 予想被害額, 発生から導かれる結果

セキュリティ事故の事を何というか

インシデント

リスク分析、リスク評価を行うことを何というか

リスクアセスメント

評価されたリスクに対してどのような対策を講じるかを決めることを何というか

リスク対応

リスクアセスメントと、リスク対応によって構成されているものを何というか

リスクマネジメント

組織が受容できるリスクの水準の事を何というか

受容水準

標準化された手法やツールを使って自社リスクを評価する方法を何というか

ベースラインアプローチ

自社組織の業態、業務フローに適合した形で、情報資産の洗い出しや脅威の把握、脆弱性の検証、そこから導かれるリスクの度合いなどを算出する方法を何というか

詳細リスク分析

ベースラインアプローチと詳細リスク分析を両方使うことを何というか

複合アプローチ

リスクアセスメントに先立って行う作業は何か

リスクの識別

リスクを識別すために資産の特定と何を行うか

資産価値の算出

リスクは完全にゼロにしなければならない

リスクを数値で表す評価方法を何というか

定量的リスク評価

評価者の経験や知識で行わなければならない評価を何というか

定性的リスク評価

リスクによる被害の発生を予防する措置をとったり、仮にリスクが顕在化してしまったりした場合でも被害を最小化するための措置を何というか

リスク低減

リスクを顕在化させないためにリスク回避、リスク低減、リスク転移、などの手段を講じられ、これらを総称して何というか

リスク対応

リスク回避とリスク低減は何と呼ばれているか

リスクコントロール

リスクを排除してしまう措置で、利益に対して、リスクのほうが大きすぎる場合などに採用されるものを何というか

リスク回避

業務畝以上のリスクを他社に転嫁することでリスクに対応する方法を何というか

リスク転移

リスクが受容水準内に収まる場合や、軽微なリスクで対応コストのほうが損失コストより大きくなる場合、あるいはリスクが大きすぎてどうしようもない場合（戦争など）にリスクをそのままにするケースを何というか

リスク保有

強固な社屋と冗長化されたネットワーク、電源などをもち２４時間監視体制でデータの保存やアプリケーションサービスも提供するのを何というか

IDC

災害などが発生すると企業も社会も大混乱に陥ります。その場で、復旧手順などを考える余裕はないと覚悟しておかなければなりません。そこで、ＯＯを策定しておき、何をすればよいかを明確に示しておくＯＯに入る言葉は何か

ＢＣＰ

ＢＣＰを確実に実行するためには、それに応じた組織や運用体制が確立されていなければなりません。これをＯＯと呼びますＯＯに入る言葉はなにか

ＢＣＭ

Ａ～Ｄのうち、リスクアセスメントプロセスのリスク特定において特定する対象だけをすべて挙げたものはどれか「特定する対象」Ａ：リスク対応にかかる費用Ｂ：リスクによって引き起こされる事象Ｃ：リスクによって引き起こされる事象の原因及び起こりえる結果Ｄ：リスクを顕在化させる可能性を持つリスク源

Ｂ，Ｃ，Ａ

ＪＩＳＱ３１０００：２０１９において、リスクマネジメントは、リスクについて組織を指揮統制するための調整された活動と定義されている。そのプロセスを構成する活動の実行順序として、適切なものはどれか

リスク特定→リスク分析→リスク評価→リスク対応

ＪＩＳＱ２７００１：２０２３（上布セキュリティマネジメントシステムー要求事項）において、リスクを受容するプロセスに求められるものはどれか

受容するリスクについては、リスク所有者が承認すること

リスク対応のうち、リスクの回避に該当するものはどれか

リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる

リスクアセスメントに関する記述のうち,適切なものはどれか。

損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。

リスクアセスメントを三つのプロセスに分けるとすると,リスクの特定,リスクの評価ともう一つはどれか。

リスクの分析

情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。

受容基準と比較できるように,各リスクのレベルを決定する必要がある。

a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか。〔特定する対象〕 a.リスク対応に掛かる費用 b.リスクによって引き起こされる事象 c.リスクによって引き起こされる事象の原因及び起こり得る結果 d.リスクを顕在化させる可能性をもつリスク源

b,c,d

情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。

機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる

情報セキュリティのリスクマネジメントにおけるリスク対応を, リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

リスク共有

ISMSにおけるリスク分析手法の一つである"詳細リスク分析"で行う作業はどれか。

リスクの評価

情報セキュリティのリスクマネジメントにおいて, リスク移転,リスク回避,リスク低減, リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。

リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることはリスク移転に分類される。

リスク対応のうち,リスクファイナンシングに該当するものはどれか。

システムが被害を受けるリスクを想定して,保険を掛ける。

リスクが顕在化しても,その影響が小さいと想定されるので,損害の負担を受容するリスク対応はどれか。

リスク保有

企業活動におけるBCPを説明したものはどれか。

災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の継続を可能とするために事前に策定される行動計画のこと

地震,洪水といった自然災害,テロ行為といった人為災害などによって企業の業務が停止した場合,顧客や取引先の業務にも重大な影響を与えることがある。こうした事象の発生を想定して,製造業のX社は次の対策を採ることにした。対策aとbに該当する用語の組合せはどれか。

ア

リスク分析で明らかになった潜在的なリスクを顕在化させないための手段を総称して何というか

リスク対応

リスク分析で潜在的なリスクを顕在化させないために、以下の手段を講じます　①～④にあてはまる言葉を順に答えろ ①：リスク因子を排除する ②：リスクによる被害の発生予防・最小化をする ③：業務運営上のリスクを他社に転嫁する ④：意思決定の元リスクを持ち続ける

リスク回避, リスク低減, リスク移転, リスク保有

リスク移転とリスク保有は資金を手当てすることで対処できます。そのためOOと分類されることもある OOに入る言葉は何か

リスクファイナンシング

文書の形で明確に示される、その企業のセキュリティへの取り組みビジョン、取り組み基準、罰則規定などの総称を何というか

情報セキュリティポリシ

企業に対する利害関係者の事で、顧客や株主のほかに、社員や地域社会を含めた概念を何というか

ステークホルダ

作成されたポリシが古くなり、規定文書が効力を失ってしまうことを何というか

死文化

死文化を防ぎ、作成された情報セキュリティポリシを１００％活用するための仕組みを何というか

情報セキュリティマネジメントシステム

組織での情報資産管理台帳の記入方法のうちIPA中小企業の情報セキュリティ対策ガイドラインに照らして適切なものはどれか

利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する

内外に宣言する最上位の情報セキュリティポリシに記載することとして、最も適切なものはどれか

経営陣が情報セキュリティに取り組む姿勢

IPA中小企業の情報セキュリティ対策ガイドラインに記載されている、基本方針、対策基準、実施手順からなる組織の情報セキュリティポリシに関する記述のうち、適切なものはどれか

組織の規模が小さい場合は、対策基準と実施手順を併せて１階層都市、基本方針を含めて２階層の文書楮として策定してもよい

情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。

基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。

企業の情報セキュリティポリシーの基本方針策定に関する記述のうち,適切なものはどれ

情報セキュリティに対する企業の考え方や取り組みを明文化する。

ISMS適合性評価制度における情報セキュリティポリシーに関する記述のうち,適切なものはどれか。

情報セキュリティの方針は,事業,組織,所在地,資産及び技術の特徴を考慮して策定する。

プロジェクトに関わるステークホルダの説明のうち,適切なものはどれか。

プロジェクトの成果が,自らの利益になる者と不利益になる者がいる。

企業の情報セキュリティポリシーの基本方針策定に関する記述のうち,適切なものはどれか。

情報セキュリティに対する企業の考え方や取り組みを明文化する。

情報セキュリティポリシは、会社としてのセキュリティへの取り組みの指針・ビジョンを示す①と、①を部署ごとに具体化した②、担当者レベルの社員に向けてセキュリティ維持のための手順を示す③の三つからなる ①～③の順にすべて答えろ

基本方針, 対策基準, 実施手順

効果的なマネジメントシステムを確立するには、計画、実施、点検、改善からなるOOが必要となります OOに入る言葉は何か

PDCAサイクル

組織での情報資産管理台帳の記入方法のうち,IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)" に照らして,適切なものはどれか。

利用しているクラウドサービスに保存している情報資産を含めて,台帳に記入する。

JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)では,組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち, 適切なものはどれか。

情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に,適用宣言書を作成する。

日本情報処理開発協会のプライバシーマーク制度について説明したものはどれか。

事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度

ISMS適合性評価制度の説明はどれか

27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。

プライバシーマークを取得している事業者が,個人情報保護に関する理念や取組みを内外に宣言する文書はどれか。

個人情報保護方針

JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち,適切なものはどれか。

情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

"OECDプライバシーガイドライン"には8原則が定められている。その中の四つの原則についての説明のうち, 適切なものはどれか。

エ

個人情報保護に関するコンプライアンスプログラムの説明のうち、適切なものはどれか。

個人情報保護に取り組むに当たって、経営活動に対して適用される体系的なマネジメントシステム

JISQ２７００１：２０２３において、情報セキュリティ目的をどのように達成するかについて計画するとき、実施要項、責任者、達成期限のほかに、決定しなければならない事項として定められているものはどれか

必要な資源および結果の評価方法

経済産業省情報セキュリティ監査基準実施基準ガイドラインにおける、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査の実施に関する記述のうち適切なものはどれか

不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を開示することが有用である

JISQ１５００１；２０２３に関する記述のうち、適切なものはどれか

本人から書面に記載された個人情報を直接取得する場合には、利用目的などをあらかじめ書面によって本人に明示し、同意を得なければならないと定められている

頻出問題： JISQ27001は、OOへの適合性を評価する認証基準です。JISQ２７００１では、マネジメントシステムに対する経営者の責任の明確化などが図られています

ISMS

JISQ２７０１４は①とは何かを定義し、その目的や使い方を確立するためのドキュメントです。①はIT戦略の策定と実行に関わる②とともにコーポレートガバナンスに含まれ互いに独立していますが一部は重複します

情報セキュリティガバナンス, ITガバナンス

情報セキュリティ監査制度について監査組織の情報セキュリティマネジメントを推進向上させる目的に、改善点を助言する。セキュリティ意識の浸透していない企業でも始めやすい監査を何というか

助言型監査

被監査組織の情報セキュリティマネジメントが一定の水準に達しているか確認する。規定水準を適切に満たしていることを保証する監査を何というか

保証型監査

監査企業・監査人に対する行為規範が①です。対して、監査企業に対して監査における評価点を示すガイドラインが②です

情報セキュリティ監査基準, 情報セキュリティ管理基準

①は、セキュリティ対策の実行性を担保しシステム有効に活用するための監査基準です。①は信頼性、安全性、効率性の観点から情報システムを総合的に点検・評価します

システム監査基準

JISQ１５００１は、①に関するマネジメントシステムを認定するためのドキュメントです。ISMSなどと同様、方針の作成、計画、実施・運用、監査、見直しといったPDCAサイクルの確立を要請します。

個人情報保護

①は、サイバーセキュリティ戦略本部が出している文書で、行政機関などが真央るべき事項を定めています

政府機関等の情報セキュリティ対策のための統一基準

CVSSとは何の略称か

共通脆弱性評価システム

情報システムの脆弱性の重要度を評価する指標の事をなんというか

CVSS

CVSSの３つの基準を答えろ

基本評価基準, 現状評価基準, 環境評価基準

CVSSの基準において脆弱性の特性を評価する基準をなんというか

基本評価基準

CVSSの基準において脆弱性の現在の深刻度を評価する基準をなんというか

現状評価基準

CVSSの基準において最終的な脆弱性の深刻度を評価する基準を何というか

環境評価基準

JVN(Japan Vulnerability Notes)はどれか。

脆弱性対策情報などを提供するポータルサイト

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE (Common Vulnerabilities and Exposures)識別子の説明はどれか。

製品に含まれる脆弱性を識別するための識別子である。

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE (Common Weakness Enumeration)はどれか。

ソフトウェアの脆弱性の種類の一覧

クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたものはどれか。

PCI DSS

クレジットカード情報を安全にやり取りするための国際標準を何というか

PCIDSS

共通脆弱性評価システム（CVSS）の特徴として、適切なものはどれか

情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダに依存しない評価方法を提供する

①は情報システムの情弱性の需要度を評価する指標です。ベンダに依存せずオープンで包括的、汎用的な同一基準で評価します。

CVSS

①とは、クレジットカード情報を安全にやり取りするための国際標準です。カード館員のデータと決済情報を保護するための要件が定められています

PCIDSS

情報セキュリティにまつわる何らかの事故が発生したときに、それに対応するチームの事を何というか

CSIRT

日本を代表するリーダー的な存在であるCSIRTを何というか

JPCERT/CC

CSIRTの説明として,適切なものはどれか。

企業内・組織内や政府機関に設置され,情報セキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。

JPCERT/CCの説明はどれか。

特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。

組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。

CSIRTマテリアル

自分で行う検査。内部監査ともいう監査の事を何というか

第一者監査

情報システムを運用していくうえで問題となる事項を第３者的な視点からチェックする実地調査の事を何というか

システム監査

監査結果を得るに至った状況証拠の事を何というか

監査証跡

情報システムの状態や利用履歴を記録し、公的な証拠能力を保有する水準で維持保全する体系を指す用語を何というか

デジタルフォレンジックス

企業の業務において、不正行為や不法行為、ミスなどが行われないよう、業務手続を定め、それを管理していく事を何というか

内部統制

100

監査を実施すする際の方針や手順の事を何というか

監査基準

情報のCIA

情報のCIA

情報資産・脅威・脆弱性

情報資産・脅威・脆弱性

試験頻出項目：サイバー攻撃手法

試験頻出項目：サイバー攻撃手法

試験頻出項目：サイバー攻撃手法２

試験頻出項目：サイバー攻撃手法２

暗号

暗号

認証

認証

第１章まとめ

第１章まとめ

リスクマネジメント

リスクマネジメント

情報セキュリティポリシ

情報セキュリティポリシ

各種管理策

各種管理策

セキュリティ評価

セキュリティ評価

CSIRT

CSIRT

システム監査

システム監査

過去問

過去問

マルウェア対策

マルウェア対策

不正アクセス対策

不正アクセス対策

情報漏えい対策

情報漏えい対策

アクセス管理

アクセス管理

人的対策

人的対策

知的財産権と個人情報の保護

知的財産権と個人情報の保護

セキュリティ関連法規

セキュリティ関連法規

その他法規やガイドライン

その他法規やガイドライン

ネットワーク

ネットワーク

考査試験

考査試験

選択問題

選択問題

データベース

データベース

システム戦略と構成要素

システム戦略と構成要素

セキュリティシステム戦略

セキュリティシステム戦略

企業の活動と統治

企業の活動と統治

模擬問題１

模擬問題１

間違い

間違い

考査試験

考査試験

ITパス問題　１

ITパス問題　１

問題一覧

リスク危険度の３要素をすべて答えろ

発生頻度, 予想被害額, 発生から導かれる結果

セキュリティ事故の事を何というか

インシデント

リスク分析、リスク評価を行うことを何というか

リスクアセスメント

評価されたリスクに対してどのような対策を講じるかを決めることを何というか

リスク対応

リスクアセスメントと、リスク対応によって構成されているものを何というか

リスクマネジメント

組織が受容できるリスクの水準の事を何というか

受容水準

標準化された手法やツールを使って自社リスクを評価する方法を何というか

ベースラインアプローチ

詳細リスク分析

ベースラインアプローチと詳細リスク分析を両方使うことを何というか

複合アプローチ

リスクアセスメントに先立って行う作業は何か

リスクの識別

リスクを識別すために資産の特定と何を行うか

資産価値の算出

リスクは完全にゼロにしなければならない

リスクを数値で表す評価方法を何というか

定量的リスク評価

評価者の経験や知識で行わなければならない評価を何というか

定性的リスク評価

リスクによる被害の発生を予防する措置をとったり、仮にリスクが顕在化してしまったりした場合でも被害を最小化するための措置を何というか

リスク低減

リスクを顕在化させないためにリスク回避、リスク低減、リスク転移、などの手段を講じられ、これらを総称して何というか

リスク対応

リスク回避とリスク低減は何と呼ばれているか

リスクコントロール

リスクを排除してしまう措置で、利益に対して、リスクのほうが大きすぎる場合などに採用されるものを何というか

リスク回避

業務畝以上のリスクを他社に転嫁することでリスクに対応する方法を何というか

リスク転移

リスク保有

強固な社屋と冗長化されたネットワーク、電源などをもち２４時間監視体制でデータの保存やアプリケーションサービスも提供するのを何というか

IDC

ＢＣＰ

ＢＣＭ

Ｂ，Ｃ，Ａ

リスク特定→リスク分析→リスク評価→リスク対応

受容するリスクについては、リスク所有者が承認すること

リスク対応のうち、リスクの回避に該当するものはどれか

リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる

リスクアセスメントに関する記述のうち,適切なものはどれか。

損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。

リスクアセスメントを三つのプロセスに分けるとすると,リスクの特定,リスクの評価ともう一つはどれか。

リスクの分析

受容基準と比較できるように,各リスクのレベルを決定する必要がある。

b,c,d

情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。

機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる

リスク共有

ISMSにおけるリスク分析手法の一つである"詳細リスク分析"で行う作業はどれか。

リスクの評価

リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることはリスク移転に分類される。

リスク対応のうち,リスクファイナンシングに該当するものはどれか。

システムが被害を受けるリスクを想定して,保険を掛ける。

リスクが顕在化しても,その影響が小さいと想定されるので,損害の負担を受容するリスク対応はどれか。

リスク保有

企業活動におけるBCPを説明したものはどれか。

災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の継続を可能とするために事前に策定される行動計画のこと

ア

リスク分析で明らかになった潜在的なリスクを顕在化させないための手段を総称して何というか

リスク対応

リスク回避, リスク低減, リスク移転, リスク保有

リスク移転とリスク保有は資金を手当てすることで対処できます。そのためOOと分類されることもある OOに入る言葉は何か

リスクファイナンシング

文書の形で明確に示される、その企業のセキュリティへの取り組みビジョン、取り組み基準、罰則規定などの総称を何というか

情報セキュリティポリシ

企業に対する利害関係者の事で、顧客や株主のほかに、社員や地域社会を含めた概念を何というか

ステークホルダ

作成されたポリシが古くなり、規定文書が効力を失ってしまうことを何というか

死文化

死文化を防ぎ、作成された情報セキュリティポリシを１００％活用するための仕組みを何というか

情報セキュリティマネジメントシステム

組織での情報資産管理台帳の記入方法のうちIPA中小企業の情報セキュリティ対策ガイドラインに照らして適切なものはどれか

利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する

内外に宣言する最上位の情報セキュリティポリシに記載することとして、最も適切なものはどれか

経営陣が情報セキュリティに取り組む姿勢

組織の規模が小さい場合は、対策基準と実施手順を併せて１階層都市、基本方針を含めて２階層の文書楮として策定してもよい

情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。

基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。

企業の情報セキュリティポリシーの基本方針策定に関する記述のうち,適切なものはどれ

情報セキュリティに対する企業の考え方や取り組みを明文化する。

ISMS適合性評価制度における情報セキュリティポリシーに関する記述のうち,適切なものはどれか。

情報セキュリティの方針は,事業,組織,所在地,資産及び技術の特徴を考慮して策定する。

プロジェクトに関わるステークホルダの説明のうち,適切なものはどれか。

プロジェクトの成果が,自らの利益になる者と不利益になる者がいる。

企業の情報セキュリティポリシーの基本方針策定に関する記述のうち,適切なものはどれか。

情報セキュリティに対する企業の考え方や取り組みを明文化する。

基本方針, 対策基準, 実施手順

効果的なマネジメントシステムを確立するには、計画、実施、点検、改善からなるOOが必要となります OOに入る言葉は何か

PDCAサイクル

組織での情報資産管理台帳の記入方法のうち,IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)" に照らして,適切なものはどれか。

利用しているクラウドサービスに保存している情報資産を含めて,台帳に記入する。

情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に,適用宣言書を作成する。

日本情報処理開発協会のプライバシーマーク制度について説明したものはどれか。

事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度

ISMS適合性評価制度の説明はどれか

27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。

プライバシーマークを取得している事業者が,個人情報保護に関する理念や取組みを内外に宣言する文書はどれか。

個人情報保護方針

情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

"OECDプライバシーガイドライン"には8原則が定められている。その中の四つの原則についての説明のうち, 適切なものはどれか。

エ

個人情報保護に関するコンプライアンスプログラムの説明のうち、適切なものはどれか。

個人情報保護に取り組むに当たって、経営活動に対して適用される体系的なマネジメントシステム

必要な資源および結果の評価方法

不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を開示することが有用である

JISQ１５００１；２０２３に関する記述のうち、適切なものはどれか

ISMS

情報セキュリティガバナンス, ITガバナンス

助言型監査

保証型監査

監査企業・監査人に対する行為規範が①です。対して、監査企業に対して監査における評価点を示すガイドラインが②です

情報セキュリティ監査基準, 情報セキュリティ管理基準

システム監査基準

個人情報保護

①は、サイバーセキュリティ戦略本部が出している文書で、行政機関などが真央るべき事項を定めています

政府機関等の情報セキュリティ対策のための統一基準

CVSSとは何の略称か

共通脆弱性評価システム

情報システムの脆弱性の重要度を評価する指標の事をなんというか

CVSS

CVSSの３つの基準を答えろ

基本評価基準, 現状評価基準, 環境評価基準

CVSSの基準において脆弱性の特性を評価する基準をなんというか

基本評価基準

CVSSの基準において脆弱性の現在の深刻度を評価する基準をなんというか

現状評価基準

CVSSの基準において最終的な脆弱性の深刻度を評価する基準を何というか

環境評価基準

JVN(Japan Vulnerability Notes)はどれか。

脆弱性対策情報などを提供するポータルサイト

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE (Common Vulnerabilities and Exposures)識別子の説明はどれか。

製品に含まれる脆弱性を識別するための識別子である。

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE (Common Weakness Enumeration)はどれか。

ソフトウェアの脆弱性の種類の一覧

クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたものはどれか。

PCI DSS

クレジットカード情報を安全にやり取りするための国際標準を何というか

PCIDSS

共通脆弱性評価システム（CVSS）の特徴として、適切なものはどれか

情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダに依存しない評価方法を提供する

①は情報システムの情弱性の需要度を評価する指標です。ベンダに依存せずオープンで包括的、汎用的な同一基準で評価します。

CVSS

PCIDSS

情報セキュリティにまつわる何らかの事故が発生したときに、それに対応するチームの事を何というか

CSIRT

日本を代表するリーダー的な存在であるCSIRTを何というか

JPCERT/CC

CSIRTの説明として,適切なものはどれか。

企業内・組織内や政府機関に設置され,情報セキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。

JPCERT/CCの説明はどれか。

組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。

CSIRTマテリアル

自分で行う検査。内部監査ともいう監査の事を何というか

第一者監査

情報システムを運用していくうえで問題となる事項を第３者的な視点からチェックする実地調査の事を何というか

システム監査

監査結果を得るに至った状況証拠の事を何というか

監査証跡

情報システムの状態や利用履歴を記録し、公的な証拠能力を保有する水準で維持保全する体系を指す用語を何というか

デジタルフォレンジックス

企業の業務において、不正行為や不法行為、ミスなどが行われないよう、業務手続を定め、それを管理していく事を何というか

内部統制

100

監査を実施すする際の方針や手順の事を何というか

監査基準