基本情報技術者試験「適用宣言書」の問題
B社はISMS認証の取得に向け適用宣言書を作成している。標準の管理策一覧のうち『開発環境のセキュリティ』に関する管理策を、自社は開発業務を一切行わず外部に委託していないという理由で適用対象外とした。適用宣言書におけるこの取扱いとして、最も適切なものはどれか。
ア外したものは、なぜ外したかの判断根拠を文書に残しておく。
イ標準に挙がる管理策は全件を採用対象とし除外は一切認めない。
ウ外したものは触れず、採る管理策だけを宣言書に並べておく。
エ採否は内部監査の結果が出てから事後的に確定すればよい。
正解
ア.外したものは、なぜ外したかの判断根拠を文書に残しておく。
適用宣言書(SoA)は、リスクアセスメント結果に基づき選定した管理策と、適用しない管理策およびその除外理由を一覧で示す文書である。自社に開発業務が存在しないという根拠を明記して当該管理策を除外する取扱いは、適用宣言書の趣旨に合致する。
?選択肢ごとの解説
ア ○適用宣言書(SoA)は、リスクアセスメント結果に基づき選定した管理策と、適用しない管理策およびその除外理由を一覧で示す文書である。自社に開発業務が存在しないという根拠を明記して当該管理策を除外する取扱いは、適用宣言書の趣旨に合致する。
イ ×管理策は自組織の状況に応じて取捨選択でき、該当業務がなければ正当な理由を付して除外できるため、全件一律適用を強制する考えは適切でない。
ウ ×適用宣言書は適用しない管理策とその理由も含めて記載することで網羅性と判断根拠を示す文書であり、適用分のみの列挙では要件を満たさない。
エ ×管理策の選定はリスクアセスメントに基づき計画段階で確定すべきもので、内部監査の結果を待って事後に決めるという順序は不適切である。
✎くわしく
適用宣言書は『どの管理策を、なぜ採用/除外したか』をリスクアセスメントと紐づけて説明責任を果たす中核文書である。除外理由の明記により、抜け漏れではなく意図的判断であることを審査側にも示せる点が重要である。
✓本番での押さえどころ
試験のコツ
適用宣言書(SoA)は『採用+除外+除外理由』をリスクアセスメントに基づき記載。除外の根拠明記が問われやすい。
覚え方
SoAは『やる/やらない+なぜ』の一覧。やらないものほど理由をはっきり書く。
よくある誤り
適用宣言書を『使う管理策の一覧』とだけ捉え、除外した管理策とその理由の記載が必須である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0134