情報セキュリティマネジメント午前平成29年春

情報セキュリティマネジメント午前平成29年春

(作成中)








 JIS Q 27001:2014 (情報セキュリティマネジメントシステム − 要求事項) に

おいて、ISMS に関するリーダーシップ及びコミットメントをトップマネジメント

が実証する上で行う事項として挙げられているものはどれか。

 ア ISMS の有効性に寄与するよう人々を指揮し、支援する。

 イ ISMS を組織の他のプロセスと分けて運営する。

 ウ 情報セキュリティ方針に従う。

 エ 情報セキュリティリスク対応計画を策定する

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問01

 ア ISMS の有効性に寄与するよう人々を指揮し、支援する。


------------------------------------------------------------------------




問2 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン

  (Wr1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしてい

  る対策はどれか。

自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策

自社に出資している株主が行うセキュリティ対策

自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

自社の事業所近隣の地域社会が行うセキュリティ対策

問3 組織的なインシデント対応体制の構築を支援する目的でJPcER7ryccが作成したも

  のはどれか。

ア CSIRTマテリアル

イ ISMSユーザーズカイド

ウ 証拠保全ガイドライン

エ 組織における内部不正防止ガイドライン

-

3-

問4 ディザスタリカバリを計画する際の検討項目の一つであるRPO(Recovery Point

  Objective)はどれか。

ア 業務の継続性を維持するために必要な人員計画と要求される交代要員のスキル

 を示す指標

イ 災害発生時からどのくらいの時間以内にシステムを再稼働しなければならない

 かを示す指標

ウ 災害発生時に業務を代替する遠隔地のシステム環境と,通常稼働しているシス

 テム環境との設備投資の比率を示す指標

エ システムが再稼働したときに,災害発生前のどの時点の状態までデータを復旧

 しなければならないかを示す指標

問5 JIS Q 31000:2010 (リスクマネジメントー原則及び指針)において,リスクマネジ

  メントを効果的なものにするために,組織が順守することが望ましいこととして挙

  げられている原則はどれか。

リスクマネジメントは,静的であり,変化が生じたときに終了する。

リスクマネジメントは,組織に合わせて作られる。

リスクマネジメントは,組織の主要なプロセスから分離した単独の活動である。

リスクマネジメントは,リスクが顕在化した場合を対象とする。

-

4-

問6 JIS Q 31000:2010 (リスクマネジメントー原則及び指針)において,リスクマネジ

  メントは,“リスクについて組織を指揮統制するための調整された活動”と定義され

  ている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。

リスク特定→リスク対応→リスク分析⇒リスク評価

リスク特定→リスク分析→リスク評価⇒リスク対応

リスク評価→リスク特定→リスク分析→リスク対応

リスク評価→リスク分析→リスク特定→リスク対応

------------------------------------------------------------------------

 JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語) におけ

る " リスクレベル ” の定義はどれか。

 ア 脅威によって付け込まれる可能性のある,資産又は管理策の弱点

 イ 結果とその起こりやすさの組合せとして表現される,リスクの大きさ

 ウ 対応すべきリスクに付与する優位順位

 エ リスクの重大性を評価するために目安とする条件

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問07



------------------------------------------------------------------------


問7 JIS Q 27000:2014 (情報セキュリテイマネジメントシステム用語)における“リ

  スクレベル”の定義はどれか。

脅威によって付け込まれる可能性のある,資産又は管理策の弱点

結果とその起こりやすさの組合せとして表現される,リスクの大きさ

対応すべきリスクに付与する優先順位

リスクの重大性を評価するために目安とする条件

問8 A社は,情報システムの運用をB社に委託している。当該情報システムで発生し

  た情報セキュリティインシデントについての対応のうち,適切なものはどれか。

ア 情報セキュリティインシデント管理を一元化するために,委託契約継続可否及

 び再発防止策の決定をB社に任せた。

イ 情報セキュリティインシデントに迅速に対応するために,サービスレベル合意

 書(SLA)に緊急時のセキュリティ手続を記載せず,B社の裁量に任せた。

ウ 情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡す

 るために,あらかじめ定めた連絡経路に従ってB社から連絡した。

エ 迅速に対応するために,特定の情報セキュリティインシデントの一次対応にお

 いては,事前に定めた対応手順よりも,経験豊かなB社担当者の判断を優先した。

問9 暗号の危殆化に該当するものはどれか。

  ア 暗号化通信を行う前に,データ伝送速度や,暗号設定情報などを交換する

   こと

  イ 考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータ

   の性能の飛躍的な向上などによって,解読されやすい状態になること

  ウ 自身が保有する鍵を使って,暗号化されたデータから元のデータを復元するこ

   と

  エ 元のデータから一定の計算手順に従って疑似乱数を求め,元のデータをその疑

   似乱数に置き換えること

問le 情報セキュリティにおけるタイムスタンプサービスの説明はどれか。

  ア 公式の記録において使われる全世界共通の日時情報を,暗号化通信を用いて安

   全に表示するWebサービス

  イ 指紋,声紋,静脈パターン,網膜,虹彩などの生体情報を,認証システムに登

   録した日時を用いて認証するサービス

  ウ 電子データが,ある日時に確かに存在していたこと,及びその日時以降に改ざ

   んされていないことを証明するサービス

  エ ネットワーク上のPCやサーバの時計を合わせるための日時情報を途中で改ざ

   んされないように通知するサービス

-

6-

問11 JIS Q 27001:2014 (情報セキュリティマネジメントシステムー要求事項)において

  組織の管理下で働く人々が認識をもたなければならないとされているのは,“ISMS

  の有効性に対する自らの貢献”及び“ISMS要求事項に適合しないことの意味”と,

  もう一つはどれか。

ア 情報セキュリティ適用宣言書

ウ 情報セキュリティ方針

イ 情報セキュリティ内部監査結果

工 情報セキュリティリスク対応計画

問12 情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。

  JVNが主として提供する情報はどれか。

ア エ業製品などに関する術上の評価や製品事故に関する事故情報及び品質情報

イ 国家や重要インフラに影響を及ぼすような情報セキュリティ事件・事故とその

 対応情報

ウ ソフトウェアなどの脆弱性関連情報や対策情報

工 日本国内で発生した情報セキュリティインシデントの相談窓口に関する情報

問13 NIDS(ネットワーク型IDS)を導入する目的はどれか。

ア 管理下のネットワークへの侵入の試みを検知し,管理者に通知する。

イ 実際にネットワークを介してWebサイトを攻撃し,侵入できるかどうかを検査

 する。

ウ ネットワークからの攻撃が防御できないときの損害の大きさを判定する。

エ ネットワークに接続されたサーバに納されているファイルが改ざんされたか

 どうかを判定する。

-

7-

問14 内部不正による重要なデータの漏えいの可能性を早期に発見するために有効な対

  策はどれか。

ア アクセスログの定期的な確認と解析

イ ウイルス対策ソフトの導入

ウ 重要なデータのバックアップ

エ ノートPCのHDD暗号

問15 ディジタルフォレンジックスの説明として,適切なものはどれか。

ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メール

 をフィルタリングすること

イ 外部からの攻撃や不正なアクセスからサーバを防御すること

ウ 磁気ディスクなどの書換え可能な記憶媒体を廃棄する前に,単に初期化するだ

 けではデータを復元できる可能性があるので,任意のデータ列で上書きすること

エ 不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を

 確保できるように,原因究明に必要なデータの保全,収集,分析をすること

問16 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその

  対策の組合せのうち,適切なものはどれか。

辞書攻撃

スニツフイング

ブルートフォース攻撃

推測されにくいパス

ワードを設定する。

パスワード暗号

して送信する。

ログインの試行回数

に制限を設ける。

推測されにくいパス

ワードを設定する。

ログインの試行回数

に制限を設ける。

パスワード暗号

して送信する。

パスワード暗号

して送信する。

ログインの試行回数

に制限を設ける。

推測されにくいパス

ワードを設定する。

ログインの試行回数

に制限を設ける。

推測されにくいパス

ワードを設定する。

パスワード暗号

して送信する。

問17 1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三

  つのセグメントに分割されたネットワークがある。このネットワークにおいて,

  Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,

  利用者向けのサービスをインターネットに公開する場合,インターネットからの不

  正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切

  なものはどれか。ここで,ファイアウォールでは,外部セグメントとDMZとの間及

  びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグ

  メントと内部セグメントとの間の直接の通信は許可しないものとする。

ア WebサーバとデータベースサーバをDMZに設置する。

イ Webサーバとデータベースサーバを内部セグメントに設置する。

ウ WebサーバをDMZに,データベースサーバを内部セグメントに設置する。

エ Webサーバを外部セグメントに,データベースサーバをDMZに設置する。

-

問18 2要素認証に該当する組みはどれか。

ア クライアント証明書,ハードウェアトークン

イ 静脈認証,指紋認証

ウ パスワード認証,静脈認証

エ パスワード認証,秘密の質問の答え

問19 二者間で商取引のメッセージを送受信するときに,送信者のディジタル証明書を

  使用して行えることはどれか。

ア 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,送信者

 の購入しようとした商品名が間違いなく明記されていることを確認する。

イ 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,メッセ

 ージの盗聴を検知する。

ウ 受信者が,受信したディジタル署名を検証することによって,メッセージがそ

 の送信者からのものであることを確認する。

エ 送信者が,メッセージに送信者のディジタル証明書を添付することによって,

 メッセージの盗聴を防止する。

問20 ディジタル署名などに用いるハッジュ関数の特徴はどれか。

ア 同じメッセージダイジェストを出力する二つの異なるメッセージは容易に求め

 られる。

イ メッセージが異なっていても,メッセージダイジェストは全て同じである。

ウ メッセージダイジェストからメッセージを復元することは困難である。

エ メッセージダイジェストの長さはメッセージの長さによって異なる。

-

10

問21 ソーシャルエンジニアリングに該当するものはどれか。

ア オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織に関

 する重要情報を盗み出す。

イ キー入力を記録するソフトウェアを,不特定多数が利用するPCで動作させて,

 利用者IDパスワードを窃取する。

ウ 日本人の名前や日本語単語が登録された辞書を用意して,プログラムによっ

 てパスワードを解読する。

エ 利用者IDパスワードの対応リストを用いて,プログラムによってWebサイ

 トヘのログインを自動的かつ連続的に試みる。

問22 ディジタル署名に用いる鍵の組みのうち,適切なものはどれか。

ディジタル署名の

作成に用いる鍵

ディジタル署名の

検証に用いる鍵

共通鍵

秘密鍵

公開鍵

秘密鍵

秘密鍵

共通鍵

秘密鍵

公開鍵

-

11

問23 ディレクトリトラバーサル攻撃に該当するものはどれか。

ア 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文

 を構成するデータを入力し,管理者の意図していないSQL文を実行させる。

イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイ

 ルを不正に閲覧する。

ウ 攻撃者が,利用者をWebサイトに誘導した上で,Webアプリケーションによる

 HTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあ

 るスクリプトを実行させる。

エ セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利

 用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセ

 スする。

-

12 -

問24 JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語)における真正

  性及び信頼性に対する定義a~dの組みのうち,適切なものはどれか。

〔定義〕

a 意図する行動と結果とが一貫しているという特性

b エンテイテイは,それが主張するとおりのものであるという特性

c 認可されたエンテイテイが要求したときに,アクセス及び使用が可能であるとい

 う特性

d 認可されていない個人,エンテイテイ又はプロセスに対して,情報を使用させず,

 また,開示しないという特性

真正性

信頼性

問25 何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータはど

  れか。

ア CA

イ CP

ウ CPS

工 CRL

問26 クレジットカードなどのカード会員データセキュリティ強化を目的として制定

  され,術面及び運用面の要件を定めたものはどれか。

ア ISMS適合性評価制度

ウ 特定個人情報保護評価

イ PCIDSS

エ プライバシーマーク制度

-

13 -

問27 不正が発生する際にぱ不正のトライアングル”の3要素全てが存在すると考え

  られている。“不正のトライアングル”の構成要素の説明として,適切なものはどれ

  か。

ア “機会”とは,情報システムなどの術や物理的な環境,組織のルールなど,

 内部者による不正行為の実行を可能又は容易にする環境の存在である。

イ “情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関

 係者相互に正しく伝えられるようにすることである。

ウ “正当化”とは,ノルマによるプレッシヤなどのことである。

エ “動機”とは,良心のかしやくを乗り越える都合の良い解釈や他人への責任転

 嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。

問28 0SI基本参照モデルネットワーク層で動作し,“認証ヘッダ(AH)”ど暗号

  イロード(ESP)”の二つのプロトコルを含むものはどれか。

ア IPsec

イ S/MIME

ウ SS

エ XML暗号

問29 WAF(Web Application Firewall)におけるブラックリスト又はホワイトリストの説

  明のうち,適切なものはどれか。

ア ブラックリストは,脆弱性があるWebサイトIPアドレスを登録するもので

 あり,該当する通信を遮断する。

イ ブラックリストは,問題がある通信データパターンを定義したものであり,該

 当する通信を遮断又は無害化する。

ウ ホワイトリストは,暗号化された受信データをどのように復号するかを定義し

 たものであり,復号鍵が登録されていないデータを遮断する。

エ ホワイトリストは,脆弱性がないWebサイトのFQDNを登録したものであり,

 登録がないWebサイトへの通信を遮断する。

-

14 -

問30 Webサーバの検査におけるポートスキャナの利用目的はどれか。

ア Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働してい

 ないことを確認する。

イ Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティボリ

 シからの逸脱がないことを調べる。

ウ Webサーバヘのアクセス履歴を解析して,不正利用を検出する。

エ 正規の利用者IDログインし,Webサーバのコンテンツを直接確認して,コン

 テンツの脆弱性を検出する。

問31 電子署名法に関する記述のうち,適切なものはどれか。

ア 電子署名には,電磁的記録以外で,コンピュータ処理の対象とならないものも

 含まれる。

イ 電子署名には,民事訴訟法における押印と同様の効力が認められる。

ウ 電子署名の認証業務を行うことができるのは,政府が運営する認証局に限られ

 る。

エ 電子署名は共通鍵暗号術によるものに限られる。

問32

 インターネットショッピングで商品を購入するとき、売買契約が成立するのは

どの時点か。

 ア 消費者からの購入申込みが事業者に到達した時点

 イ 事業者が消費者宛に承諾の通知を発信した時点

 ウ 事業者からの承諾の通知が消費者に到達した時点

 エ 商品が消費者の手元に到達した時点

解答:ウ



問33 不正競争防止法で保護されるものはどれか。

ア 特許権を取得した発明

イ 頒布されている自社独自のシステム開発手順書

ウ 秘密として管理していない,自社システムを開発するための重要な設計書

工 秘密として管理している,事業活動用の非公開の顧客名簿

問34 著作権法による保護の対象となるものはどれか。

ソースプログラムそのもの

データ通信のプロトコル

プログラムに組み込まれたアイディア

プログラムのアルゴリズム

問35 時間外労働に関する記述のうち,労働基準法に照らして適切なものはどれか。

ア 裁量労働制を導入している場合,法定労働時間外の労働は従業員の自己管理と

 してよい。

イ 事業場外労働が適用されている営業担当者には時間外手当の支払はない。

ウ 年俸制が適用される従業員には時間外手当の支払はない。

エ 法定労働時間外の労働を労使協定(36協定)なしで行わせるのは違法である。

16

問36 特権IDシステム設定データの操作,それらの権限の設定が可能なID)の不

  正使用を発見するコントロールとして,最も有効なものはどれか。

特権IDの貸出し及び返却の管理簿と,特権IDの利用ログを照合する。

特権IDの使用を許可された者も,通常の操作では一般利用者IDを使用する。

特権IDの使用を必要とする者は,使用の都度,特権IDの貸出しを受ける。

特権ID設定内容や使用範囲を,用途に応じて細分化する。

問37 システムテストの監査におけるチェックポイントのうち,最も適切なものはどれ

  か。

ア テスト計画は事前に利用者側の責任者だけで承認されていること

イ テストは実際に業務が行われている環境で実施されていること

ウ テストは独立性を考慮して,利用者側の担当者だけで行われていること

エ 例外ケースや異常ケースを想定したテストが行われていること

問38 システム監査人が,監査報告書の原案について被監査部門と意見交換を行う目的

  として,最も適切なものはどれか。

ア 監査依頼者に監査報告書を提出する前に,被監査部門に監査報告を行うため

イ 監査報告書に記載する改善勧告について,被監査部門の責任者の承認を受ける

 ため

ウ 監査報告書に記載する指摘事項及び改善勧告について,事実誤認がないことを

 確認するため

エ 監査報告書の記載内容に関して調査が不足している事項を被監査部門に口頭で

 確認することによって,不足事項の追加調査に代えるため

-

17 -

問39 システム障害管理の監査で判明した状況のうち,監査人が監査報告書で報告すべ

  き指摘事項はどれか。

ア システム障害対応マニュアルが作成され,オペレータへの知が図られている。

イ システム障害によってデータベースが被害を受けた場合を想定して,規程に従

 って,データのバックアップをとっている。

ウ システム障害の種類や発生箇所,影響度合いに関係なく,共通の連絡・報告ル

 ートが定められている。

エ 全てのシステム障害について,障害記録を残し,責任者の承認を得ることが定

 められている。

問40 システムの利用部門の利用者情報システム部門の運用者が合同で,システム

  運用テストを実施する。利用者が優先して確認すべき事項はどれか。

ア オンライン処理,バッチ処理などが運用手順どおりに稼働すること

イ システムが決められた業務手順どおりに稼働すること

ウ システムが目標とする性能要件を満たしていること

エ 全てのアプリケーションプログラムが仕様どおりに機能すること

-

18 -

------------------------------------------------------------------------

 IT サービスマネジメントにおける運用レベル合意書 (OLA) の説明はどれか。

 ア サービス提供者と供給者との間で取り交わした合意文書であり,サービス

   及びサービス目標を定義した文書である。

 イ サービス提供者と顧客との間で取り交わした合意文書であり,サービス及

   びサービス目標を定義した文書である。

 ウ サービス提供者と内部グループとの間で取り交わした合意文書であり,

  サービス及びサービス目標を定義した文書である。

 エ サービス内容を顧客に提示するための文書であり、提供する全ての

  サービスの種類や構成を定義した文書である。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問41

 ウ サービス提供者と内部グループとの間で取り交わした合意文書であり,

  サービス及びサービス目標を定義した文書である。

------------------------------------------------------------------------


問42 1Tサービスマネジメントにおける問題管理プロセスの目的はどれか。

ア インシデントの解決を,合意したサービス目標及び時間枠内に達成することを

 確実にする。

イ インシデントの未知の根本原因を特定し,恒久的な解決策を提案したり,イン

 シデントの発生を事前予防的に防止したりする。

ウ 合意した目標の中で,合意したサービス継続及び可用性のコミットメントを果

 たすことを確実にする。

エ 全ての変更を制御された方法でアセスメントし,承認し,実施し,レビュー

 ることを確実にする。

-

19-

問43 図のアローダイアグラムで表されるプロジェクトは,完了までに最短で何日を要

  するか。

       B   S    E

       5  χ 40

A          C   `    F        H

30        30  、  25      30

         1) χ  G

        20   8    30

                   凡例

                   匹う

                   口 所要日数しI

ア 105

イ 115

ウ 120

      • 一一):ダミー作業

工 125

問44 ホットスタンバイ方式を採用したシステム構成の特徴はどれか。

ア 現用系が故障すると,現用系に対応した待機系に手動で切り替える。正常時に

 は,待機系をバッチジョブに利用できるので,高いシステム稼働率が実現できる。

イ 現用系が故障すると,動作状態にある待機系に自動で迅速に切り替える。故障

 が発生したことを利用者に感じさせないような切替えが実現できる。

ウ システムを3重に冗長化して並列運転し,それらの処理結果の多数決をとって

 出力する。高い信頼性が実現できる。

エ ネットワークが異なる複数台の現用系マシンのいずれかが故障すると,1台の

 予備機を立ち上げて,ネットワークや制御自動的に切り替える。費用を抑えな

 がら高い可用性が実現できる。

20

問45 ビッグデータの活用例として,大量のデータから統計学的手法などを用いて新た

  な知識(傾向やパターン)を見つけ出すプロセスはどれか。

データウェアハウス

データマイニング

データディクショナリ

メタデータ

問46 PCからWebサーバにHTTPでアクセスしようとしたところ,HTTPレスポンス

  のステータスコードが404,説明文字列が“Not Found” のエラーとなった。このエ

  ラーの説明として,適切なものはどれか。

ア Webサーバ内に,uRLで指定したページが見つからなかった。

イ Webサーバのホスト名をDNsで検索したが,見つからなかった。

ウ WebサーバヘのIPパケットの経路が見つからず,HTTPリクエストがタイムア

 ウトになった。

エ Webサーバヘのログイン時に指定した利用者n:)が見つからず,ログインが拒否

 された。

問47 情報戦略の立案時に,必ず整合性を取るべきものはどれか。

ア 新しく登場した情報

ウ 情報システム部門の年度計画

21

イ 基幹システムの改修計画

工 中長期の経営計画

問48 システム企画段階において業務プロセスを抜本的に再設計する際の留意点はどれ

  か。

ア 新たな視点から高い目標を設定し,将来的に必要となる最上位の業務機能と業

 務組織のモデルを検討する。

イ 業務改善を積み重ねるために,ビジネスモデルの将来像にはこだわらず,現場

 レベルのニーズや課題への対応を重視して業務プロセスを再設計する。

ウ 経営者や管理者による意思決定などの非定型業務ではなく,一般社員による購

 買,製造,販売,出荷,サービスといった定型業務を対象とする。

エ 現行業務に関する組織,術などについての情報を収集し,現行の組織や業務

 手続に基づいて業務プロセスを再設計する,

問49 受注管理システムにおける要件のうち,非機能要件に該当するものはどれか。

ア 顧客から注文を受け付けるとき,与信残金額を計算し,結果がマイナスになっ

 た場合は,入力画面に警告メッセージを表示できること

イ 受注管理システムの稼働率を決められた水準に維持するために,障害発生時は

 半日以内に回復できること

ウ 受注を処理するとき,在庫切れの商品であることが分かるように担当者に警告

 メッセージを出力できること

エ 商品の出荷は,顧客から受けた注文情報を受注担当者がシステムに入力し,営

 業管理者が受注承認入力を行ったものに限ること


問50 企業活動におけるBCPを説明したものはどれか。

ア 企業が事業活動を営む上で,社会に与える影響に責任をもち,あらゆるステー

 クホルダからの要求に対し,適切な説明責任を果たすための取組のこと

イ 形式知だけでなく,暗黙知を含めた幅広い知識を共有して活用することによっ

 て,新たな知識を創造しながら経営を実践する経営手法のこと

ウ 災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の継続

 を可能とするために事前に策定する行動計画のこと

エ 組織体の活動に伴い発生するあらゆるリスクを,統合的,包括的,戦略的に把

 握,評価,最適化し,価値の最大化を図る手法のこと


------------------------------------------------------------------------