ガバナンスプロセスのモニター|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問7

出典:令和元年秋期 午前Ⅱ 問7 分野:セキュリティ / 情報セキュリティ管理
JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの"モニター"はどれか。
  • ア:情報セキュリティの目的及び戦略について,指示を与えるガバナンスプロセス
  • イ:戦略的目的の達成を評価することを可能にするガバナンスプロセス
  • ウ:独立した立場からの客観的な監査,レビュー又は認証を委託するガバナンスプロセス
  • エ:利害関係者との間で,特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス
解説

JIS Q 27014は、情報セキュリティガバナンスについて定めた規格です。簡単にいうと、組織が情報セキュリティを経営の視点でどのように管理・統制するかを示したものです。

情報セキュリティガバナンスでは、単に現場がセキュリティ対策を行うだけでなく、経営陣が目的や方針を示し、その達成状況を確認することが重要です。

目的 内容
戦略の整合 情報セキュリティの目的や戦略を、事業の目的や戦略と合わせる
価値の提供 経営陣や利害関係者にとって価値のある情報セキュリティ活動にする
説明責任 情報リスクに適切に対応していることを説明できるようにする

また、JIS Q 27014では、情報セキュリティを統治するためのプロセスとして、評価、指示、モニター、コミュニケーション、保証の5つを定義しています。

プロセス 意味
評価 現在の状況や今後の変化を踏まえ、目的達成のために何を調整すべきか判断する
指示 経営陣が、情報セキュリティの目的や戦略について方向性を示す
モニター 経営陣が、戦略的目的を達成できているか確認・評価できるようにする
コミュニケーション 経営陣と利害関係者が、情報セキュリティに関する情報を相互にやり取りする
保証 独立した立場からの監査、レビュー、認証などを委託する

設問で「モニター」が問われた場合は、「戦略的目的の達成を評価できるようにするプロセス」と判断します。

つまり、指示は「方針を出す」、モニターは「達成状況を見る」、保証は「第三者に確認してもらう」、コミュニケーションは「情報をやり取りする」と整理すると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:情報セキュリティの目的及び戦略について,指示を与えるガバナンスプロセス
⇒指示、又はDirectに関する説明です。経営陣が情報セキュリティの目的や戦略について方向性を示すプロセスであり、達成状況を継続的に把握するモニターとは異なります。
ウ:独立した立場からの客観的な監査,レビュー又は認証を委託するガバナンスプロセス
⇒保証、又はAssureに関する説明です。第三者や独立した立場による監査・レビュー・認証を通じて確認するプロセスであり、戦略的目的の達成状況を把握するモニターとは異なります。
エ:利害関係者との間で,特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス
⇒コミュニケーション、又はCommunicateに関する説明です。利害関係者と情報セキュリティに関する情報を共有・交換するプロセスであり、モニターの説明ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

JIS Q 27014における「モニター」は、情報セキュリティの取組みが戦略的目的の達成に役立っているかを評価できるようにするガバナンスプロセスです。つまり、状況を監視し、目的達成を評価するための活動です。

迷ったときの判断軸

目的や戦略について指示を与えるのは「指示」、独立した監査や認証を委託するのは「保証」、利害関係者と情報を交換するのは「コミュニケーション」です。モニターは、実施状況や成果を見て評価につなげるものと判断しましょう。

科目Bにつなげるために

科目Bでは、経営層が情報セキュリティをどのように統治するかを問われることがあります。方針を出すだけでなく、対策が目的に沿って機能しているかを継続的に確認する視点を持ちましょう。