インシデント管理
情報セキュリティマネジメント試験「対応プロセス」の問題
セキュリティインシデント対応において、被害の拡大を食い止めるために検知の直後に行うべき活動はどれか。
ア根本原因を取り除き再発を防ぐ恒久対策を最初に実施する。
イ事後に教訓を整理し手順を見直す振り返りを最初に行う。
ウ通常業務へ戻すための復旧作業を最初に完了させておく。
エ被害拡大を止めるため影響範囲を切り離す封じ込めを行う。
正解
エ.被害拡大を止めるため影響範囲を切り離す封じ込めを行う。
インシデント対応は検知→封じ込め→根絶(原因除去)→復旧→事後対応の流れが基本。検知直後はまず封じ込め(感染端末の隔離など)で被害拡大を止めることが優先される。
?選択肢ごとの解説
ア ×恒久対策は原因除去の段階で、まず被害拡大を止める本問の封じ込めより後の工程である。
イ ×振り返りは収束後の活動で、検知直後に被害を止める本問の封じ込めとは段階が異なる。
ウ ×復旧は封じ込めと原因除去の後に行う段階で、検知直後にすべき本問の活動とは順序が異なる。
エ ○インシデント対応は検知→封じ込め→根絶(原因除去)→復旧→事後対応の流れが基本。検知直後はまず封じ込め(感染端末の隔離など)で被害拡大を止めることが優先される。
インシデント管理の他の問題
組織内に常設し、セキュリティインシデントの報告受付・原因調査・対応の統括や、平時の予防・情報共有を担う専門チームの一般的な呼…情報セキュリティインシデント対応における「エスカレーション」の説明として、最も適切なものはどれか。JIS Q 27000における情報セキュリティ「事象」と「インシデント」の関係の説明として、最も適切なものはどれか。従業員が業務中に情報システムやサービスに存在する弱点を発見した場合、組織が求める対応として最も適切なものはどれか。セキュリティインシデント収束後に、再発防止のため経過や対応を検証する活動はどれか。発生した複数のインシデントに、影響度と緊急度から対応順位を付ける活動はどれか。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a2-0017
