情報セキュリティ対策定義問題
情報セキュリティマネジメントシステムの認定基準として国際的に認識されているISO/IEC 27001とは何か。
A.情報セキュリティに関する用語やその意味を定義した標準
✗ これはISO/IEC 27000の説明です。用語定義を提供する標準規格を指しています。
B.組織の情報資産を保護するためのマネジメントシステムの要件を規定した標準← 正解
✓ 正解です。ISO/IEC 27001は、組織がISMS(情報セキュリティマネジメントシステム)を構築・運用・維持するための要件を規定した国際標準です。
C.情報セキュリティ対策の実装ガイドラインを提供する標準
✗ これはISO/IEC 27002の説明です。情報セキュリティ対策の実装的なガイドラインを提供する標準を指しています。
D.情報システムの監査基準を規定した国内標準
✗ ISO/IEC 27001は国際標準であり、国内標準ではありません。また監査基準ではなくマネジメントシステムの要件を定めています。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…