情報セキュリティ

基本情報技術者試験適用宣言書」の問題

情報セキュリティ情報セキュリティ難易度:normal
B社はISMS認証の取得に向け適用宣言書を作成している。標準の管理策一覧のうち『開発環境のセキュリティ』に関する管理策を、自社は開発業務を一切行わず外部に委託していないという理由で適用対象外とした。適用宣言書におけるこの取扱いとして、最も適切なものはどれか。
外したものは、なぜ外したかの判断根拠を文書に残しておく。
標準に挙がる管理策は全件を採用対象とし除外は一切認めない。
外したものは触れず、採る管理策だけを宣言書に並べておく。
採否は内部監査の結果が出てから事後的に確定すればよい。
正解
外したものは、なぜ外したかの判断根拠を文書に残しておく。

適用宣言書(SoA)は、リスクアセスメント結果に基づき選定した管理策と、適用しない管理策およびその除外理由を一覧で示す文書である。自社に開発業務が存在しないという根拠を明記して当該管理策を除外する取扱いは、適用宣言書の趣旨に合致する。

?選択肢ごとの解説

ア ○適用宣言書(SoA)は、リスクアセスメント結果に基づき選定した管理策と、適用しない管理策およびその除外理由を一覧で示す文書である。自社に開発業務が存在しないという根拠を明記して当該管理策を除外する取扱いは、適用宣言書の趣旨に合致する。
イ ×管理策は自組織の状況に応じて取捨選択でき、該当業務がなければ正当な理由を付して除外できるため、全件一律適用を強制する考えは適切でない。
ウ ×適用宣言書は適用しない管理策とその理由も含めて記載することで網羅性と判断根拠を示す文書であり、適用分のみの列挙では要件を満たさない。
エ ×管理策の選定はリスクアセスメントに基づき計画段階で確定すべきもので、内部監査の結果を待って事後に決めるという順序は不適切である。

くわしく

適用宣言書は『どの管理策を、なぜ採用/除外したか』をリスクアセスメントと紐づけて説明責任を果たす中核文書である。除外理由の明記により、抜け漏れではなく意図的判断であることを審査側にも示せる点が重要である。

本番での押さえどころ

試験のコツ

適用宣言書(SoA)は『採用+除外+除外理由』をリスクアセスメントに基づき記載。除外の根拠明記が問われやすい。

覚え方

SoAは『やる/やらない+なぜ』の一覧。やらないものほど理由をはっきり書く。

よくある誤り

適用宣言書を『使う管理策の一覧』とだけ捉え、除外した管理策とその理由の記載が必須である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0134

【基本情報技術者試験】適用宣言書の問題 — 解答・解説|ukamiru 過去問