管理策の評価
情報セキュリティマネジメント試験「有効性の測定」の問題
ISMSの運用において、実施した情報セキュリティ管理策が意図した効果を上げているかを確かめるために行う活動はどれか。
ア組織に存在するリスクを発見し、その内容を一覧化する活動である。
イ発見された不適合について、その根本原因を除去して再発を防止する活動を意味している。
ウ情報資産を重要度に応じて区分し、それぞれの取扱いの基準を定めていく活動のことを指している。
エ管理策が意図した効果を上げているかを、指標で監視・測定し評価する活動である。
正解
エ.管理策が意図した効果を上げているかを、指標で監視・測定し評価する活動である。
有効性の測定は、ISMSや管理策が意図した結果をもたらしているかを、あらかじめ定めた指標・方法で監視・測定し評価する活動で、改善の根拠となる。
?選択肢ごとの解説
ア ×これはリスク特定の説明で、リスクの洗い出し活動であり本問の有効性測定とは異なる。
イ ×これは是正処置の説明で、不適合の原因除去であり本問の有効性測定とは目的が異なる。
ウ ×これは情報分類の説明で、資産を区分する活動であり本問の有効性測定とは区別される。
エ ○有効性の測定は、ISMSや管理策が意図した結果をもたらしているかを、あらかじめ定めた指標・方法で監視・測定し評価する活動で、改善の根拠となる。
管理策の評価の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a2-w2-0016
