模擬試験(ドメイン2)

ドメイン2の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. スーザン氏は弁護士です。ライド社の最高プライバシー責任者(CPO)で新たな地位を築くために雇われました。彼女の新しい主な役割は何ですか?

〇:顧客、会社、従業員のデータを確実に保護すること。

最高プライバシー担当者(CPO)は、顧客、会社、従業員のデータのセキュリティを確保する責任を負います。CPOは、データの収集、保護、第三者への配布方法に関するポリシーの設定に直接関わります。 CPOは通常弁護士であり、報告書や調査結果を最高セキュリティ責任者(CSO)に報告します。よって、正解は「顧客、会社、従業員のデータを確実に保護すること。」になります。

おそらく、CPOなんて知らなかったのではないかと思います。この問題のポイントはプライバシーという言葉から、個人情報の保護を発想できるかどうかです。実際の試験で知らない単語も見たときに、単語の意味が分からないからと投げてはいけません。ヒントは必ずあります。

 

×:パートナデータの保護を保証すること。

CPOは、顧客、会社、従業員のデータのセキュリティを確保する責任を負います。

パートナーデータの保護もあり得ますが、主な役割という意味合いからは外れます。

 

×:企業財務情報の正確性と保護を確保すること。

プライバシーの保護に当たらないと考えられます。

 

×:セキュリティポリシーが定義され、実施されていることを確認すること。

すべての担当者・責任者に共通する目的であり、最高プライバシー責任者(CPO)としての役割という意味合いでは、焦点が合っていません。

#2. 機密文章をシュレッダーをかけずに、ゴミ箱に入れてはいけない理由は何でしょうか。

〇:ゴミ箱に入れた後に社外の人の手に渡る可能性があるため。

ダンプスターダイビング、またはスキャベジングとは、ゴミ箱の中から重要情報を見つけることです。ゴミ箱に入れると、削除した気になり安心してしまいます。しかし、ゴミ箱は清掃員など社内と社外をつなぐ共有スペースに他なりません。機密情報を含む文章などは、シュレッダーにかけ漏洩しないようにしましょう。

 

×:ゴミ箱から復元する際に他の文章と混ざってしまうため。

復元する目的で破棄はしません。

 

×:機密文章は破棄する必要がないため。

機密文章であっても、不必要となれば破棄しなければなりません。

 

×:シュレッダーにかける必要はない。

いいえ、当然シュレッダーにはする必要があります。

#3. データ分類レベルを割り当てるだけではできないことはどれでしょうか。

〇:データベースからのデータの抽出

データ分類においては、データ分類を使用してデータベースに格納されているデータの読み取りと書き込みにアクセスできるユーザーを指定することはしますが、データベースからのデータ抽出は伴いません。よって正解は、「データベースからのデータの抽出」になります。

なにこれ?と思うような問題ですが、データを分類することと、データを操作することを冷静に解析する必要があります。時間をかけるほど、難しい回答をしたくなりますが、冷静になり続けることが抽象的な問題を解く上で大事なことです。

 

×:階層的に分類された情報のグループ化

データ分類の主たる活動です。

 

×:非機密データが不必要に保護されていないことの確認

ややこしい書き方をしていますが、守る必要のないものは保護する機能も必要がないということを言っています。

 

×:データ漏洩時の影響の把握

直接的ではありませんが、データを分類する上でその重要性を把握するために、データの漏洩時の影響を確認することもあります。

#4. ITIL(Information Technology Infrastructure Library)は5つの教科書セットで構成されています。これは次のうち、どのITサービスの計画の中核をなしており焦点を当てていますか?

〇:サービス戦略

ITILの基本的なアプローチは、意図されたITサービスの全体的な計画に焦点を当てたサービス戦略の作成にあります。最初の計画が完了したら、有効なITサービスと全体的な実装ポリシーの設計に関するガイドラインを提供します。その後、サービス移行段階が開始され、ITサービスの評価、テスト、および検証に関するガイドラインが提供されます。これにより、ビジネス環境から技術サービスへの移行が可能になります。サービス運用は、決定されたすべてのサービスが目的を達成したことを確認します。最後に、継続的サービス改善はサービスライフサイクル全体の改善領域を指摘します。サービス戦略はITILの中核であると考えられています。 ITとビジネスアプローチ、市場分析、サービス資産、顧客に質の高いサービスを提供する目標を設定すること、サービス戦略を実施することの戦略と価値の計画、設計、アライメントに関するベストプラクティスを含む一連のガイドラインで構成されています。

 

×:サービス運用

サービス運用は、サービスが実際に配信される際のライフサイクルの重要なコンポーネントであり、ITILのような指針を提示するようなものは実際の運用の際に、中核をなすことはありません。ライフサイクルの運用では、合意されたレベルのサービスが顧客に提供されることを確実にする一連のガイドラインが定義されています。サービス運用によって組み込まれるさまざまなジャンルには、イベント管理、問題管理、アクセス管理、インシデント管理、アプリケーション管理、技術管理、および運用管理が含まれます。サービス運用は、テクノロジーとビジネスの要件、安定性とレスポンス、コストとサービスの質、対抗的なプロアクティブなアクティビティーなどの矛盾する目標間のバランスを取っています。

 

×:サービス設計

現在および将来のビジネス要件を満たすために、プロセス、アーキテクチャ、ポリシー、およびドキュメントを含むITサービスの設計に最適なプラクティスのセットを含むため、不適切です。サービス設計の目標は、合意されたビジネス目標に従ってサービスを設計することです。ライフサイクル、リスクの特定と管理をサポートできるプロセスを設計する。全体としてのITサービス品質の改善に関与しています。

 

×:サービス移行

サービス移行はビジネス戦略によって提案されたサービスを業務上の使用に提供することに重点を置いているため、正しくありません。また、ビジネスモデルの技術サービスへのスムーズな移行を可能にするガイドラインも含まれています。サービスの要件が設計後に変更された場合、サービス移行は、その要件が変更された設計に従って提供されることを保証します。これらのガイドラインが重点を置いている分野には、移行移行計画に関わる人員の責任と、移行計画とサポート、変更管理、ナレッジマネジメント、リリースと展開管理、サービス検証とテスト、評価が含まれます。

#5. 物理的な特別な技能を用いてデータ回復が可能ではないデータ削除手段のどれでしょうか。

〇:上書きによるパージ

パージとは、物理的な努力によってもデータを利用できないようにすることを意味します。これは、典型的には、データが格納された媒体の各セクタを上書きすることによって達成されます。

 

×:オペレーティングシステムコマンドによるデータの削除

間違っています。オペレーティングシステムコマンドによるデータの削除は、通常、記憶媒体上にデータを残す一方で、後で再利用できるように記憶しているクラスタまたはブロックをマークする。

個人的にはこちらの選択肢を選ぶほうが試験対策がよくできていると感じられます。というのは、データの削除という一般的な言語を用いた選択肢になっているため、短時間で広い意味合いで回答を行うことができるからです。ただ、本問題の回答としては、パージという用語のほうが問題に対してはより強く適合しています。

 

×:メディアのサニタイジング

間違っています。オペレーティングシステムのコマンドでデータを単に削除するよりも強力な方法ですが、通常、サニタイズとは、ストレージメディアを同じセキュリティコンテキスト内で再利用可能にすることを指します。

「物理的な特別な技能を用いて」と聞いているため、手法を特定した選択肢「パージ」のほうが問題に対してはより強く適合しています。

 

×:これらのどれも動作しません

間違っています。適切な慎重さをもって、パージ技術によってデータの残存をうまく処理することができます。

#6. 情報のライフサイクル管理において、必須でないものはどれか?

〇:データベースの移行

あるリポジトリから別のリポジトリへのアクセス可能なデータの移動は、その寿命にわたって要求されることがあるが、一般的にはこの質問に対する回答として提供される他のフェーズほど重要ではない。

 

×:データの仕様と分類

データが何であるかの判断とその分類が適切な保護レベルを提供できる最初の必須フェーズであるため誤りです。

 

×:データアクセスの継続的な監視と監査

機密データへのアクセスを継続的に監視し監査することなく、違反を特定することができず、セキュリティを保証することができないため正しくありません。

 

×:データアーカイブ

最も敏感なデータであっても保存要件の対象となるため正しくありません。これは、適切な期間、実際の使用時と同じレベルのセキュリティでアーカイブする必要があることを意味します。

#7. 次のうち、セキュリティ施策の発令者・責任者として最も望ましい役職はどれでしょうか。

〇:CEO

セキュリティの施策は、ビジネス戦略とともに掲げられるべきであり、トップであるCEOからの発令が望ましいとされます。よって、正解は「CEO」になります。

 

×:CIO

最高情報責任者の略です。確かに、CIOよりセキュリティ施策は発令されることもあります。しかし、という条件から経営の責任を負っているトップの責任者であるCEOから発令れる”ほうが望ましい”ため、ここでは正解にはなりません。

 

×:現場の責任者

セキュリティ施策の発令者・責任者は、経営に責任をものであることが望まれます。正解にはなりません。

 

×:CTO

最高技術責任者の略です。最高技術責任者の主な役割はその組織の研究技術の推進と保護に当たります。組織管理やガバナンスも含めたセキュリティ施策は発令される場合には、CEOの”ほうが望ましい”ため、ここでは正解にはなりません。

#8. メディアに機密情報が含まれている場合、メディアライフサイクルの終了には削除を実施しなければなりません。次のうち、パージについての適切に説明しているものはどれでしょうか。

〇:情報をいかなる特別な努力をもってしても物理的に回復不能にすること。

パージは、ディスクから機密データを削除することです。ディスク上のファイルをソフトウェア的に削除しても、ディスク上データの所在との紐づけを切り離しているだけで、実際にはデータは消えません。これにより、機密性の高い情報が含まれているディスク上のデータを完全に消去できない場合は、物理的な破壊も必要になってきます。

 

×:媒体上の原子の偏光を変化させること。

パージの説明ではありません。

 

×:同じ目的のために同じ物理環境でメディアを再利用することは承認しないこと。

このような承認プロセスは実際には存在するかもしれませんが、データ削除としてのパージの説明ではありません。

 

×:メディア上のデータを上書きすることによって回復不能にすること。

単に新しい情報でメディアを上書きしても、以前に書き込まれた情報を回復する可能性は排除できません。

よって、パージの説明には当てはまりません。

#9. ジムは販売担当者であり営業部門のデータ所有者です。データ所有者であるジムの責任ではないものはどれでしょう。

〇:データの可用性の確認

データの可用性を確認する責任は、データ(情報)所有者に属さない唯一の責任です。むしろ、それはデータ(情報)管理人の責任です。データ管理者は、データ所有者の指示に従ってデータを保守し、保護する責任も負っています。これには、データの定期的バックアップの実行、バックアップメディアからのデータの復元、活動の記録の保持、会社の方針、ガイドライン、標準における情報セキュリティとデータ保護の要件の実行が含まれます。データ所有者は、データ管理者よりも高いレベルで働いています。データ所有者は基本的に「これは提供する必要がある完全性、可用性、機密性のレベルです。今すぐ行ってください」と述べています。データ管理者はこれらの権限を実行し、インストールされたコントロールをフォローアップして、適切に動作しています。

 

×:情報分類の割り当て

データ所有者としてジムが情報分類の割り当てを担当するため、ジムが責任を負うものではないかと尋ねているため正しくありません。

 

×:データの保護方法の決定

ジムなどのデータ所有者は、情報の保護方法を決定する責任があるため、正しくありません。データ所有者はデータ保護のための組織的責任を持ち、組織の情報資産を保護することに関してはいかなる過失に対しても責任があります。これは、ジムが情報の保護方法を決定し、データ管理者(通常はITまたはセキュリティによって占められる役割)がこれらの決定を実行していることを保証する必要があることを意味します。

 

×:データの保持期間の決定

データを保持する期間の決定はデータ所有者の責任であるため、正しくありません。データ所有者は、情報にアクセスできるユーザーを決定し、適切なアクセス権が使用されていることを確認する責任も負います。彼はアクセス要求を自分で承認するか、ビジネスユニットマネージャーにその機能を委任することができます。ビジネスユニットマネージャーは、データ所有者が定義したユーザーアクセス基準に基づいて要求を承認します。

#10. 世界中の国々はサイバー戦争にさまざま影響を受けています。 水、電力、石油、ガス、輸送、製造システムを確保することは政府の優先課題となっていますが、ユーティリティと電力網のインフラストラクチャーにどのような影響を与えているのでしょうか。これらの重要なインフラストラクチャは、機能を提供するさまざまなタイプの産業制御システム(ICS)で構成されています。 次のうちICSの仕組みとして適していないものはどれでしょうか。

〇:中央制御システム

産業制御システム(ICS)の最も一般的なタイプは、分散制御システム(DCS)、プログラマブル論理コントローラ(PLC)、および監視制御およびデータ収集(SCADA)システムです。 これらのシステムは一種の中央制御機能を提供しますが、これらのシステムは本質的に分散しているため、中央制御システムはICSの一般的なタイプとはみなされません。 DCSは、水、電気、製油所などの産業向けの製品システムを制御するために使用されます。 DCSは、集中監視制御ループを使用して地理的な場所に分散しているコントローラを接続します。 このスーパバイザコントローラは、フィールドコントローラからのステータスデータを要求し、この情報を監視のために中央インターフェイスにフィードバックします。 センサーから取得したステータスデータは、フェールオーバーの状況で使用できます。 DCSは、モジュール方式で冗長保護を提供できます。 これにより、単一障害の影響が軽減されます。つまり、システムの一部がダウンした場合、システム全体がダウンすることはありません。

 

×:プログラマブルロジックコントローラ

プログラマブルロジックコントローラ(PLC)は一般的な工業用制御システム(ICS)であり、ユーティリティネットワーク全体のセンサを接続し、このセンサ信号データをソフトウェアの監視および管理によって処理できるデジタルデータに変換するために使用されます。 PLCは、もともと基本ハードウェア内で単純化されたロジック機能を実行するために作成されましたが、SCADAとDCSシステムの両方で使用される強力なコントローラに進化しました。 SCADAシステムでは、PLCはリモートフィールド機器との通信に最も一般的に使用され、DCSシステムでは、それらは監視制御方式でローカルコントローラとして使用されます。 PLCは、エンジニアリング制御ソフトウェアアプリケーションとの通信を可能にするアプリケーションプログラミングインタフェースを提供します。

 

×:監視制御およびデータ収集

監視制御とデータ収集(SCADA)とは、データを収集して処理し、ユーティリティベースの環境を構成するコンポーネントに操作制御を適用するために使用されるコンピュータ化されたシステムを指すためです。 これはICSの一般的なタイプです。 SCADA制御センターは、現場(例えば、送電網、給水システム)の集中監視と制御を可能にする。 フィールドサイトには、中央制御センターにデータを提供するリモートステーション制御デバイス(フィールドデバイス)があります。 フィールド装置から送信されたデータに基づいて、自動化されたプロセスまたはオペレータは、遠隔装置を制御して問題を解決するか、または動作上の必要性のために構成を変更するコマンドを送信することができる。 これは、ハードウェアとソフトウェアが通常は特定の業界に独占的であるため、内部で作業するのは難しい環境です。 個人所有で運営されている。 通信は、通信リンク、衛星、およびマイクロ波ベースのシステムを介して行うことができる。

 

×:分散制御システム

分散制御システム(DCS)がICSの一般的なタイプであるために間違っています。 DCSでは、制御要素は集中化されていません。 制御要素は、システム全体に分散され、1つまたは複数のコンピュータによって管理されます。 SCADAシステム、DCS、PLCは、水、石油、ガス、電気、輸送などの産業部門で使用されています。これらのシステムは「重要インフラストラクチャ」とみなされ、高度に相互接続され、依存するシステムです。 これまで、これらの重要なインフラストラクチャ環境では、インターネットと同じ種類のテクノロジやプロトコルが使用されていなかったため、孤立して攻撃するのは非常に困難でした。 時間が経つにつれて、これらの独自の環境はネットワーキングデバイスと接続されたIPベースのワークステーションを使用してIPベースの環境に変わりました。 この移行により、集中管理と管理の集中化が可能になりますが、コンピュータ業界にとって常に脆弱な種類のサイバー攻撃が発生します。

#11. 軍事における一般的なデータ分類はどれですか?

米軍複合施設および国家安全装置の中で、データ分類の最も一般的な名称は分類されていない・分類されているになります。 「分類された」情報には、機密、重要機密、および最重要機密(トップシークレット)があります。機密データとは、不適切に開示された場合、国家安全保障に害を及ぼす可能性のあるデータです。重要機密データとは、不適切に開示された場合、国家安全保障に「深刻な」害を及ぼす可能性のあるデータです。最後に、最重要機密のデータは、不適切に開示された場合、国家安全保障に「重大な」害を及ぼす可能性のあるデータです。

#12. アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱した企業のITガバナンスのフレームワークは何でしょうか。

〇:COBIT

COBITとは、アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱した企業のITガバナンスのフレームワークです。情報システムコントロール協会によると、「COBITの目的とは、マネジメントとビジネスプロセスとともに情報技術のガバナンスモデルを提供するものであり、情報技術のガバナンスは情報技術から価値を生み出し、理解し、情報技術に関するリスクを管理するものである。」とされています。よって正解は、「COBIT」です。

 

×:OCTAVE

OCTAVEとは、CERTで紹介されているリスク評価のフレームワークの一つです。

 

×:ISO/IEC 27000シリーズ

ISO/IEC 27000シリーズとは、ISO(国際標準機構)とIEC(国際電気標準会議)が共同で作った適切な情報セキュリティマネジメント(ISMS)を提供するための決まりです。

 

×:PCI DSS

PCI DSS(Payment Card Industry Data Security Standard)とは、電子決済するときの個人情報流出を避けるためのフレームワークです。

#13. 米国では、連邦政府機関は連邦情報処理標準(Federal Information Processing Standard:FIPS)201-2を遵守して、登録時に個人とその個人情報を適切に紐づけるために次のうちどれを保証する必要がありますか?

〇:公務員の身元が適切に確認されたこと。

FIPS 201-2は、個人の身元確認(PIV)のための米国政府の基準を定め、保証の様々な要件を与えています。 政府職員や契約代理店による制限された情報へのアクセスは、そのクリアランスのレベルとそれを知る必要性に左右されますが、まず政府はその個人が彼らが誰であるかを保証する必要があります。

FIPS 201-2という専門用語が出るとその専門用語の定義を確認しようとします。しかし、この問題でポイントとなっているのは「登録時に個人とその個人情報を適切に紐づける」ことです。

 

×:公務員が割り当てられた作業が自身のロールに対して適切していること。

公務員は、アクセス権が与えられた情報について適切に精査されなければなりませんが、そのようなアクセスの前(登録時)に真の身分証明書が審査と確認が必要になります。

 

×:公務員は、そのクリアランスレベルのデータへのアクセスのみが許可されている。

所有するクリアランスが有効であるという明確な保証レベルに基づいていなければなりません。ただし、「登録時に個人とその個人情報を適切に紐づけるため」という文言に合致しません。

 

×:公務員がアクセスできるデータが適切に分類されていること。

データの分類が個人情報の検証に直接関係していないため、正しくありません。

#14. マイケルはデータ分類プログラムを開発することになりました。最初のステップとして適切なのはどれでしょうか。

データ分類プログラムという聞きなれない言葉があります。これは辞書的に定義づけされた言葉ではありません。「データを分類したい。そのためにすることは?」と聞かれているのです。これに当たっての”最初のステップ”を聞かれているわけですから、選択肢を順番に並べ、最もはじめの選択肢を選ぶことで回答できます。間違っても、データ分類という言葉から頭の中の辞書を検索し、データ分類のプロセスフローを思い浮かべ、初めのプロセス名を思い出すようなことはしないでください。

順番に並べると、提供する必要のある保護レベルの理解→データ分類基準の指定→各分類レベルの保護メカニズムの決定→データ管理者の特定になるでしょう。何をするにせよ、まずは調査であること。そして、問題定義され、最も良い回答を導くという流れは問題解決の一般的な解法です。

#15. データ廃棄プロセスの一環として、ディスクのすべてをランダムな0と1で複数回上書きしますが、そういった対策を必要としないときがあります。それはどのようなディスクに対してですか?

オーバーラッピングは、データに0またはランダムな文字を書き込むことによって行われます。破損したメディアに対するオーバーラッピングは不可能です。

#16. ジャレッドは自社のデータ分類システムで役割を果たしています。この役割では、データにアクセスする際には細心の注意を払い、許可されたポリシーに従ってのみデータが使用され、データの分類に設定されたルールに従うようにする必要があります。彼はコントロールを決定、維持、評価していません。ジャレッドの役割は何ですか?

〇:データユーザー

仕事に関連する仕事のためにデータを使用する個人は、データユーザーです。ユーザーは、その職務を遂行するためにデータに必要なレベルのアクセス権を持っていなければなりません。また、データの機密性、完全性、他者への可用性を確保するための運用上のセキュリティ手順を遵守する責任があります。これは、ユーザーが適切な注意を払い、セキュリティポリシーとデータ分類ルールの両方に従って行動しなければならないことを意味します。

 

×:データ所有者

データ所有者の方がデータの保護においてより高いレベルの責任を負うため、間違っています。データ所有者は、データを分類し、分類レベルを定期的に見直し、データ保護職の責任をデータ管理者に委任する責任があります。データ所有者は、通常、組織内のマネージャーまたはエグゼクティブであり、会社の情報資産の保護については責任を負います。

 

×:データ管理者

データ管理者がデータ所有者の指示に従ってセキュリティ管理の実装と保守を担当しているため、正しくありません。言い換えれば、データ管理者は、データを保護するコントロールの技術者です。彼女の任務には、バックアップの作成、データの復元、対策の実施と維持、コントロールの管理が含まれます。

 

×:情報システム審査員

情報システム審査員は、コントロールの評価を担当するため、正しくありません。コントロールを評価した後、監査人は管理者に報告書を提出し、組織の許容可能なリスクレベルと結果とのマッピングを示します。これは、データを使用したり、データの使用に細心の注意を払ったりすることとは関係ありません。

#17. グローバル化された経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つための国際機関はどれでしょうか?

〇:経済協力開発機構

ほとんどすべての国は、私的なデータを構成するものとそれをどのように保護すべきかに関する独自の規則を持っています。デジタル時代と情報化時代が到来するにつれ、これらの異なる法律はビジネスや国際貿易に悪影響を与え始めました。このように、経済協力開発機構(OECD)は、様々な国のためのガイドラインを作成し、データが適切に保護され、誰もが同じ規則に従うようにした。

 

×:トレッドウェイ委員会委員会

不正な財務報告を研究する組織であり、不正な財務報告を調査する機関であり、どの要素がそれらにつながっているかについて、1985年にTreadway Commission(COSO)のスポンサー組織委員会が設立されたため不正です。頭字語のCOSOは、ITを戦略的レベル、企業文化、財務会計原則などに対応するコーポレートガバナンスのモデルを指します。

 

×:COBIT(Control Objectives for Information and Related Technology)

ITを適切に管理し、ITがビジネスニーズに対応できるようにするためのコントロールの目標を定義するフレームワークであるため、正しくありません。機密データと参照フレームワークの制御とセキュリティの要件を提供する国際的なオープンスタンダードです。

 

×:国際標準化機構(ISO)

国家標準化団体の代表者で構成される国際標準化機関であるため、間違っています。その目的は、グローバルな標準化を確立することです。しかし、その標準化は、国際的な国境を越えて移動するデータのプライバシーを超えています。例えば、いくつかの規格は品質管理に取り組んでおり、その他の規格は保証とセキュリティに取り組んでいます。

#18. 機密情報としてラベリング済みの文書があります。その文章の一部に、機密情報よりも上の重要機密情報として扱うべき情報が含まれていました。どのように対処すべきでしょうか?

〇:ラベリングを見直し、重要機密情報として扱う。

データを機密度の応じて振り分けることをラベリングといいます。ラベリングをすることで、データの管理の機密レベルを明確にできます。ラベリングが間違っていた場合には随時修正して、機密レベルに則ったデータ管理を行う必要があります。よって、「ラベリングを見直し、重要機密情報として扱う。」が正解になります。

×:業務は柔軟性であるべきであるため、文章全体としては機密情報として扱う。

重要機密情報が含まれている文章を機密情報として扱っているため、適切な運用とは言えません。

 

×:文書の補足情報として、「文章の一部に重要機密情報が含まれている」旨を記載する。

補足情報として記載することは実質的に異なる機密レベルとして扱っていることになるため、根本的な解決にはなっていません。

 

×:異なる機密情報が交わっていることはあり得ないため、その文書を破棄する。

破棄することは自身の資産の損害になるため、適切な運用とは言えません。

#19. 物理的なディスクに保存されたバックアップファイルをトラックで、別拠点のデータセンターに運んでいます。このバックアップファイルのデータの状態は何でしょうか。

保存データとは、ディスクなどに保存してあるデータです。転送データとは、ネットワークに流れているデータです。使用データとは、メモリやキャッシュなどにあり使用中のデータです。トラックで運んでいるからといって転送しているデータにはなりません。よって、「保存データ」が正解になります。

#20. クレジットカード決済する際に利用されている規格として考えられるものはどれでしょうか。

〇:PCI DSS

PCI DSS(Payment Card Industry Data Security Standard)とは、電子決済するときの個人情報流出を避けるためのフレームワークです。よって正解は、「PCI DSS」になります。

ちなみに、「考えられるものはどれでしょうか?」という聞き方をされると、他のフレームワークも利用しているかもしれないではないか、と反論したくなります。しかし、CISSPの試験では”最も妥当である”という選択肢を選ばないといけないケースもあるでしょう。よって、このような表現にしております。

 

×:HITECH

経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH)とは、HIPPAの強化版であり、データ管理だけではなく医療関係の事業提携者に対しても適用する法律です。

 

×:OCTAVE

OCTAVEとは、CERTで紹介されているリスク評価のフレームワークの一つです。

 

×:COBIT

COBITとは、企業のITガバナンスの成熟度を測るフレームワークです。 アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱しました。

終了