情報セキュリティマネジメント午前平成29年春

情報セキュリティマネジメント午前平成29年春

(作成中)


 JIS Q 27001:2014 (情報セキュリティマネジメントシステム − 要求事項) に

おいて、ISMS に関するリーダーシップ及びコミットメントをトップマネジメント

が実証する上で行う事項として挙げられているものはどれか。

 ア ISMS の有効性に寄与するよう人々を指揮し、支援する。

 イ ISMS を組織の他のプロセスと分けて運営する。

 ウ 情報セキュリティ方針に従う。

 エ 情報セキュリティリスク対応計画を策定する

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問01

 ア ISMS の有効性に寄与するよう人々を指揮し、支援する。


------------------------------------------------------------------------

 経済産業省と IPA が策定した “サイバーセキュリティ経営ガイドライン (Ver.1) ”

が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策は

どれか。

 ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策

 イ 自社に出資している株主が行うセキュリティ対策

 ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

 エ 自社の事業所近隣の地域社会が行うセキュリティ対策

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問02

 ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

------------------------------------------------------------------------

 組織的なインシデント対応体制の構築を支援する目的で JPCERT/CC が作成した

ものはどれか。

 ア CSIRT マテリアル

 イ ISMSユーザーズガイドライン

 ウ 証拠保全ガイドライン

 エ 組織における内部不正防止ガイドライン

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問03

 ア CSIRT マテリアル

------------------------------------------------------------------------

 ディザスタリカバリを計画する際の検討項目の一つである PRO (Recovery Point

Objective) はどれか。

 ア 業務の継続性を維持するために必要な人員計画と要求される交代要員のスキル

  を示す指標

 イ 災害発生時からどのくらいの時間以内にシステムを再稼働しなければなら

  ないかを示す指標

 ウ 災害発生時に業務を代替する遠隔地のシステム環境と,通常稼働している

  システム環境との設備投資の比率を示す指標

 エ システムが再稼働したときに,災害発生前のどの時点の状態までデータ

  復旧しなければならないかを示す指標

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問04

 エ システムが再稼働したときに,災害発生前のどの時点の状態までデータ

  復旧しなければならないかを示す指標

------------------------------------------------------------------------

 JIS Q 31000:2010 (リスクマネジメント-原則及び指針)において,

リスクマネジメントを効果的なものにするために,組織が順守することが望ま

しいこととして挙げられている原則はどれか。

 ア リスクマネジメントは,静的であり、変化が生じたときに終了する。

 イ リスクマネジメントは,組織に合わせて作られる。

 ウ リスクマネジメントは,組織の主要なプロセスから分離した単独の活動である。

 エ リスクマネジメントは,リスクが顕在化した場合を対象とする。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問05

 イ リスクマネジメントは、組織に合わせて作られる。

------------------------------------------------------------------------

問6 JIS Q 31000:2010 (リスクマネジメントー原則及び指針)において,リスクマネジ

  メントは,“リスクについて組織を指揮統制するための調整された活動”と定義され

  ている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。

リスク特定→リスク対応→リスク分析⇒リスク評価

リスク特定→リスク分析→リスク評価⇒リスク対応

リスク評価→リスク特定→リスク分析→リスク対応

リスク評価→リスク分析→リスク特定→リスク対応

------------------------------------------------------------------------

 JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語) におけ

る " リスクレベル ” の定義はどれか。

 ア 脅威によって付け込まれる可能性のある,資産又は管理策の弱点

 イ 結果とその起こりやすさの組合せとして表現される,リスクの大きさ

 ウ 対応すべきリスクに付与する優位順位

 エ リスクの重大性を評価するために目安とする条件

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問07



------------------------------------------------------------------------



問8 A社は,情報システムの運用をB社に委託している。当該情報システムで発生し

  た情報セキュリティインシデントについての対応のうち,適切なものはどれか。

ア 情報セキュリティインシデント管理を一元化するために,委託契約継続可否及

 び再発防止策の決定をB社に任せた。

イ 情報セキュリティインシデントに迅速に対応するために,サービスレベル合意

 書(SLA)に緊急時のセキュリティ手続を記載せず,B社の裁量に任せた。

ウ 情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡す

 るために,あらかじめ定めた連絡経路に従ってB社から連絡した。

エ 迅速に対応するために,特定の情報セキュリティインシデントの一次対応にお

 いては,事前に定めた対応手順よりも,経験豊かなB社担当者の判断を優先した。

問9 暗号の危殆化に該当するものはどれか。

  ア 暗号化通信を行う前に,データ伝送速度や,暗号設定情報などを交換する

   こと

  イ 考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータ

   の性能の飛躍的な向上などによって,解読されやすい状態になること

  ウ 自身が保有する鍵を使って,暗号化されたデータから元のデータを復元するこ

   と

  エ 元のデータから一定の計算手順に従って疑似乱数を求め,元のデータをその疑

   似乱数に置き換えること

問le 情報セキュリティにおけるタイムスタンプサービスの説明はどれか。

  ア 公式の記録において使われる全世界共通の日時情報を,暗号化通信を用いて安

   全に表示するWebサービス

  イ 指紋,声紋,静脈パターン,網膜,虹彩などの生体情報を,認証システムに登

   録した日時を用いて認証するサービス

  ウ 電子データが,ある日時に確かに存在していたこと,及びその日時以降に改ざ

   んされていないことを証明するサービス

  エ ネットワーク上のPCやサーバの時計を合わせるための日時情報を途中で改ざ

   んされないように通知するサービス

-

6-

問11 JIS Q 27001:2014 (情報セキュリティマネジメントシステムー要求事項)において

  組織の管理下で働く人々が認識をもたなければならないとされているのは,“ISMS

  の有効性に対する自らの貢献”及び“ISMS要求事項に適合しないことの意味”と,

  もう一つはどれか。

ア 情報セキュリティ適用宣言書

ウ 情報セキュリティ方針

イ 情報セキュリティ内部監査結果

工 情報セキュリティリスク対応計画

 情報セキュリティ管理を行う上での情報の収集源の一つとして JVN が挙げら

れる。JVN が主として提供する情報はどれか。

 ア 工業製品などに関する術上の評価や製品事故に関する事故情報及び

  品質情報

 イ 国家や重要インフラに影響を及ぼすような情報セキュリティ事件・事故と

  その対応情報

 ウ ソフトウェアなどの脆弱性関連情報や対策情報

 エ 日本国内で発生した情報セキュリティインシデントの相談窓口に関する情報

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問12

 ウ ソフトウェアなどの脆弱性関連情報や対策情報

------------------------------------------------------------------------

問13 NIDS(ネットワーク型IDS)を導入する目的はどれか。

ア 管理下のネットワークへの侵入の試みを検知し,管理者に通知する。

イ 実際にネットワークを介してWebサイトを攻撃し,侵入できるかどうかを検査

 する。

ウ ネットワークからの攻撃が防御できないときの損害の大きさを判定する。

エ ネットワークに接続されたサーバに納されているファイルが改ざんされたか

 どうかを判定する。

-

7-

 内部不正による重要なデータの漏えいの可能性を早期に発見するために有効な

対策はどれか。

 ア アクセスログの定期的な確認と解析

 イ ウイルス対策ソフトの導入

 ウ 重要なデータのバックアップ

 エ ノート PC の HDD 暗号

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問14

 ア アクセスログの定期的な確認と解析

------------------------------------------------------------------------

問15 ディジタルフォレンジックスの説明として,適切なものはどれか。

ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メール

 をフィルタリングすること

イ 外部からの攻撃や不正なアクセスからサーバを防御すること

ウ 磁気ディスクなどの書換え可能な記憶媒体を廃棄する前に,単に初期化するだ

 けではデータを復元できる可能性があるので,任意のデータ列で上書きすること

エ 不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を

 確保できるように,原因究明に必要なデータの保全,収集,分析をすること

問16 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその

  対策の組合せのうち,適切なものはどれか。

辞書攻撃

スニツフイング

ブルートフォース攻撃

推測されにくいパス

ワードを設定する。

パスワード暗号

して送信する。

ログインの試行回数

に制限を設ける。

推測されにくいパス

ワードを設定する。

ログインの試行回数

に制限を設ける。

パスワード暗号

して送信する。

パスワード暗号

して送信する。

ログインの試行回数

に制限を設ける。

推測されにくいパス

ワードを設定する。

ログインの試行回数

に制限を設ける。

推測されにくいパス

ワードを設定する。

パスワード暗号

して送信する。

------------------------------------------------------------------------

 1 のファイアウォールによって,外部セグメントDMZ,内部セグメントの三つ

セグメントに分割されたネットワークがある。このネットワークにおいて,

Web サーバと、重要なデータをもつデータベースサーバから成るシステムを使っ

て,利用者向けのサービスをインターネットに公開する場合,インターネット

らの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,

最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメント

DMZ との間及び DMZ と内部セグメントとの間の通信は特定のプロトコルだけを

許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないもの

とする。

 ア Web サーバとデータベースサーバを DMZ に設置する。

 イ Web サーバとデータベースサーバを内部セグメントに設置する。

 ウ Web サーバを DMZ に、データベースサーバを内部セグメントに設置する。

 エ Web サーバを外部セグメントに、データベースサーバを DMZ に設置する

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問17

 ウ Web サーバを DMZ に、データベースサーバを内部セグメントに設置する。

------------------------------------------------------------------------

-

問18 2要素認証に該当する組みはどれか。

ア クライアント証明書,ハードウェアトークン

イ 静脈認証,指紋認証

ウ パスワード認証,静脈認証

エ パスワード認証,秘密の質問の答え

------------------------------------------------------------------------

 二者間で商取引のメッセージを送受信するときに,送信者のディジタル証明書

を使用して行えることはどれか。

 ア 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,

  送信者の購入しようとした商品名が間違いなく明記されていることを確認す

  る。

 イ 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,

  メッセージの盗聴を検知する。

 ウ 受信者が,受信したディジタル署名を検証することによって,メッセージ

  がその送信者からのものであることを確認する。

 エ 送信者が,メッセージに送信者のディジタル証明書を添付することによっ

  て,メッセージの盗聴を防止する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問19

 ウ 受信者が,受信したディジタル署名を検証することによって,メッセージ

  がその送信者からのものであることを確認する。

------------------------------------------------------------------------

問20 ディジタル署名などに用いるハッジュ関数の特徴はどれか。

ア 同じメッセージダイジェストを出力する二つの異なるメッセージは容易に求め

 られる。

イ メッセージが異なっていても,メッセージダイジェストは全て同じである。

ウ メッセージダイジェストからメッセージを復元することは困難である。

エ メッセージダイジェストの長さはメッセージの長さによって異なる。

-

10

問21 ソーシャルエンジニアリングに該当するものはどれか。

ア オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織に関

 する重要情報を盗み出す。

イ キー入力を記録するソフトウェアを,不特定多数が利用するPCで動作させて,

 利用者IDパスワードを窃取する。

ウ 日本人の名前や日本語単語が登録された辞書を用意して,プログラムによっ

 てパスワードを解読する。

エ 利用者IDパスワードの対応リストを用いて,プログラムによってWebサイ

 トヘのログインを自動的かつ連続的に試みる。

問22 ディジタル署名に用いる鍵の組みのうち,適切なものはどれか。

ディジタル署名の

作成に用いる鍵

ディジタル署名の

検証に用いる鍵

共通鍵

秘密鍵

公開鍵

秘密鍵

秘密鍵

共通鍵

秘密鍵

公開鍵


 ディレクトリトラバーサル攻撃に該当するものはどれか。

 ア 攻撃者が,Web アプリケーションの入力データとしてデータベースへの命令文

  を構成するデータを入力し,管理者の意図していない SQL 文を実行させる。

 イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイル

  を不正に閲覧する。

 ウ 攻撃者が,利用者を Web サイトに誘導した上で,Web アプリケーションに

  よる HTML 出力のエスケープ処理の欠陥を悪用し,利用者Web ブラウザ

  悪意のあるスクリプトを実行させる。

 エ セッション ID によってセッションが管理されるとき,攻撃者がログイン中

  の利用者セッション ID を不正に取得し,その利用者になりすましてサーバ

  にアクセスする

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問23

 イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイル

  を不正に閲覧する。


------------------------------------------------------------------------

 JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語)における

真正性及び信頼性に対する定義 a ~ d の組みのうち,適切なものはどれか。

〔定義〕

 a 意図する行動と結果とが一貫しているという特性

 b エンティティは,それが主張するとおりのものであるという特性

 c 認可されたエンティティが要求したときに,アクセス及び使用が可能である

  という特性

 d 認可されていない個人、エンティティ又はプロセスに対して、情報を使用さ

  せず,また,開示しないという特性

  ┌───┬───┐

  │真正性│信頼性│

┌─┼───┼───┤

│ア│ a │ c │

├─┼───┼───┤

│イ│ b │ a │

├─┼───┼───┤

│ウ│ b │ d │

├─┼───┼───┤

│エ│ d │ a │

└─┴───┴───┘

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問24

  ┌───┬───┐

  │真正性│信頼性│

┌─┼───┼───┤

│ウ│ b │ d │

└─┴───┴───┘



問25 何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータはど

  れか。

ア CA

イ CP

ウ CPS

工 CRL

問26 クレジットカードなどのカード会員データセキュリティ強化を目的として制定

  され,術面及び運用面の要件を定めたものはどれか。

ア ISMS適合性評価制度

ウ 特定個人情報保護評価

イ PCIDSS

エ プライバシーマーク制度

-

13 -

問27 不正が発生する際にぱ不正のトライアングル”の3要素全てが存在すると考え

  られている。“不正のトライアングル”の構成要素の説明として,適切なものはどれ

  か。

ア “機会”とは,情報システムなどの術や物理的な環境,組織のルールなど,

 内部者による不正行為の実行を可能又は容易にする環境の存在である。

イ “情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関

 係者相互に正しく伝えられるようにすることである。

ウ “正当化”とは,ノルマによるプレッシヤなどのことである。

エ “動機”とは,良心のかしやくを乗り越える都合の良い解釈や他人への責任転

 嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。

問28 0SI基本参照モデルネットワーク層で動作し,“認証ヘッダ(AH)”ど暗号

  イロード(ESP)”の二つのプロトコルを含むものはどれか。

ア IPsec

イ S/MIME

ウ SS

エ XML暗号


------------------------------------------------------------------------

 WAF(Web Application Firewall)におけるブラックリスト又はホワイトリスト

の説明のうち,適切なものはどれか。

 ア ブラックリストは,脆弱性がある Web サイトIP アドレスを登録するも

  のであり,該当する通信を遮断する。

 イ ブラックリストは,問題がある通信データパターンを定義したものであり,

  該当する通信を遮断又は無害化する。

 ウ ホワイトリストは、暗号化された受信データをどのように復号するかを定義

  したものであり、復号鍵が登録されていないデータを遮断する。

 エ ホワイトリストは,脆弱性がない Web サイトFQDN を登録したものであ

  り,登録がない Web サイトへの通信を遮断する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問29

 イ ブラックリストは,問題がある通信データパターンを定義したものであり,

  該当する通信を遮断又は無害化する。

------------------------------------------------------------------------

 Web サーバの検査におけるポートスキャナの利用目的はどれか。

 ア Web サーバで稼働しているサービスを列挙して,不要なサービスが稼働し

  ていないことを確認する。

 イ Web サーバの利用者 ID の管理状況を運用者に確認して,情報セキュリティボリシ

  からの逸脱がないことを調べる。

 ウ Web サーバヘのアクセス履歴を解析して,不正利用を検出する。

 エ 正規の利用者IDログインし,Webサーバのコンテンツを直接確認して,

  コンテンツの脆弱性を検出する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問30


------------------------------------------------------------------------

31 電子署名法に関する記述のうち,適切なものはどれか。

ア 電子署名には,電磁的記録以外で,コンピュータ処理の対象とならないものも

 含まれる。

イ 電子署名には,民事訴訟法における押印と同様の効力が認められる。

ウ 電子署名の認証業務を行うことができるのは,政府が運営する認証局に限られ

 る。

エ 電子署名は共通鍵暗号術によるものに限られる。

問32

 インターネットショッピングで商品を購入するとき、売買契約が成立するのは

どの時点か。

 ア 消費者からの購入申込みが事業者に到達した時点

 イ 事業者が消費者宛に承諾の通知を発信した時点

 ウ 事業者からの承諾の通知が消費者に到達した時点

 エ 商品が消費者の手元に到達した時点

解答:ウ



問33 不正競争防止法で保護されるものはどれか。

ア 特許権を取得した発明

イ 頒布されている自社独自のシステム開発手順書

ウ 秘密として管理していない,自社システムを開発するための重要な設計書

工 秘密として管理している,事業活動用の非公開の顧客名簿



 著作権法による保護の対象となるものはどれか。

 ア ソースプログラムそのもの

 イ データ通信のプロトコル

 ウ プログラムに組み込まれたアイディア

 エ プログラムのアルゴリズム

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問34

 ア ソースプログラムそのもの

------------------------------------------------------------------------

 時間外労働に関する記述のうち,労働基準法に照らして適切なものはどれか。

 ア 裁量労働制を導入している場合,法定労働時間外の労働は従業員の自己管理

  としてよい。

 イ 事業場外労働が適用されている営業担当者には時間外手当の支払はない。

 ウ 年俸制が適用される従業員には時間外手当の支払はない。

 エ 法定労働時間外の労働を労使協定(36協定)なしで行わせるのは違法であ

  る。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問35

 エ 法定労働時間外の労働を労使協定(36協定)なしで行わせるのは違法であ

  る。

------------------------------------------------------------------------

問36 特権IDシステム設定データの操作,それらの権限の設定が可能なID)の不

  正使用を発見するコントロールとして,最も有効なものはどれか。

特権IDの貸出し及び返却の管理簿と,特権IDの利用ログを照合する。

特権IDの使用を許可された者も,通常の操作では一般利用者IDを使用する。

特権IDの使用を必要とする者は,使用の都度,特権IDの貸出しを受ける。

特権ID設定内容や使用範囲を,用途に応じて細分化する。


 システムテストの監査におけるチェックポイントのうち、最も適切なものはど

れか。

 ア テスト計画は事前に利用者側の責任者だけで承認されていること

 イ テストは実際に業務が行われている環境で実施されていること

 ウ テストは独立性を考慮して,利用者側の担当者だけで行われていること

 エ 例外ケースや異常ケースを想定したテストが行われていること


キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問37

 エ 例外ケースや異常ケースを想定したテストが行われていること

------------------------------------------------------------------------

問38 システム監査人が,監査報告書の原案について被監査部門と意見交換を行う目的

  として,最も適切なものはどれか。

ア 監査依頼者に監査報告書を提出する前に,被監査部門に監査報告を行うため

イ 監査報告書に記載する改善勧告について,被監査部門の責任者の承認を受ける

 ため

ウ 監査報告書に記載する指摘事項及び改善勧告について,事実誤認がないことを

 確認するため

エ 監査報告書の記載内容に関して調査が不足している事項を被監査部門に口頭で

 確認することによって,不足事項の

 顧客に,英大文字 A~Z の 26 種類を用いた顧客コードを割り当てたい。現在

の顧客総数は 8,000 人であって,新規顧客が毎年2割ずつ増えていくものとする。

3 年後まで全顧客にコードを割り当てられるようにするためには,顧客コードは

少なくとも何桁必要か。

 ア 3

 イ 4

 ウ 5

 エ 6

キーワード

■解答■

  基本情報技術者午前平成29年春問24

  (同等) 応用情報技術者午前平成26年秋問23

 ア 3

------------------------------------------------------------------------


 IT サービスマネジメントにおける問題管理プロセスの目的はどれか。

 ア インシデントの解決を,合意したサービス目標及び時間枠内に達成するこ

  とを確実にする。

 イ インシデントの未知の根本原因を特定し,恒久的な解決策を提案したり,

  インシデントの発生を事前予防的に防止したりする。

 ウ 合意した目標の中で、合意したサービス継続及び可用性のコミットメント

  を果たすことを確実にする。

 エ 全ての変更を制御された方法でアセスメントし,承認し,実施し,レビュー

  することを確実にする。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問42

 イ インシデントの未知の根本原因を特定し,恒久的な解決策を提案したり,

  インシデントの発生を事前予防的に防止したりする。

------------------------------------------------------------------------

問43

(図)


問44 ホットスタンバイ方式を採用したシステム構成の特徴はどれか。

ア 現用系が故障すると,現用系に対応した待機系に手動で切り替える。正常時に

 は,待機系をバッチジョブに利用できるので,高いシステム稼働率が実現できる。

イ 現用系が故障すると,動作状態にある待機系に自動で迅速に切り替える。故障

 が発生したことを利用者に感じさせないような切替えが実現できる。

ウ システムを3重に冗長化して並列運転し,それらの処理結果の多数決をとって

 出力する。高い信頼性が実現できる。

エ ネットワークが異なる複数台の現用系マシンのいずれかが故障すると,1台の

 予備機を立ち上げて,ネットワークや制御自動的に切り替える。費用を抑えな

 がら高い可用性が実現できる。

20

問45 ビッグデータの活用例として,大量のデータから統計学的手法などを用いて新た

  な知識(傾向やパターン)を見つけ出すプロセスはどれか。

データウェアハウス

データマイニング

データディクショナリ

メタデータ

問46 PCからWebサーバにHTTPでアクセスしようとしたところ,HTTPレスポンス

  のステータスコードが404,説明文字列が“Not Found” のエラーとなった。このエ

  ラーの説明として,適切なものはどれか。

ア Webサーバ内に,uRLで指定したページが見つからなかった。

イ Webサーバのホスト名をDNsで検索したが,見つからなかった。

ウ WebサーバヘのIPパケットの経路が見つからず,HTTPリクエストがタイムア

 ウトになった。

エ Webサーバヘのログイン時に指定した利用者n:)が見つからず,ログインが拒否

 された。

------------------------------------------------------------------------

 情報戦略の立案時に,必ず整合性を取るべきものはどれか。

 ア 新しく登場した情報

 イ 基幹システムの改修計画

 ウ 情報システム部門の年度計画

 エ 中長期の経営計画

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問47

 エ 中長期の経営計画

------------------------------------------------------------------------

問48 システム企画段階において業務プロセスを抜本的に再設計する際の留意点はどれ

  か。

ア 新たな視点から高い目標を設定し,将来的に必要となる最上位の業務機能と業

 務組織のモデルを検討する。

イ 業務改善を積み重ねるために,ビジネスモデルの将来像にはこだわらず,現場

 レベルのニーズや課題への対応を重視して業務プロセスを再設計する。

ウ 経営者や管理者による意思決定などの非定型業務ではなく,一般社員による購

 買,製造,販売,出荷,サービスといった定型業務を対象とする。

エ 現行業務に関する組織,術などについての情報を収集し,現行の組織や業務

 手続に基づいて業務プロセスを再設計する,

問49 受注管理システムにおける要件のうち,非機能要件に該当するものはどれか。

ア 顧客から注文を受け付けるとき,与信残金額を計算し,結果がマイナスになっ

 た場合は,入力画面に警告メッセージを表示できること

イ 受注管理システムの稼働率を決められた水準に維持するために,障害発生時は

 半日以内に回復できること

ウ 受注を処理するとき,在庫切れの商品であることが分かるように担当者に警告

 メッセージを出力できること

エ 商品の出荷は,顧客から受けた注文情報を受注担当者がシステムに入力し,営

 業管理者が受注承認入力を行ったものに限ること

------------------------------------------------------------------------

 企業活動における BCP を説明したものはどれか。

 ア 企業が事業活動を営む上で,社会に与える影響に責任をもち、あらゆる

  ステークホルダからの要求に対し,適切な説明責任を果たすための取組のこ

  と

 イ 形式知だけでなく,暗黙知を含めた幅広い知識を共有して活用することに

  よって、新たな知識を創造しながら経営を実践する経営手法のこと

 ウ 災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の

  継続を可能とするために事前に策定する行動計画のこと

 エ 組織体の活動に伴い発生するあらゆるリスクを,統合的,包括的,戦略的

  に把握,評価,最適化し,価値の最大化を図る手法のこと

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問50

 ウ 災害やシステム障害など予期せぬ事態が発生した場合でも、重要な業務の

  継続を可能とするために事前に策定する行動計画のこと

------------------------------------------------------------------------