ガバナンスプロセス

特徴

• ガバナンスプロセスとは、組織の経営陣による情報セキュリティ統治のために実行すべきことを示したもので、JIS Q 27014:2015（情報セキュリティガバナンス）で定義されている
• 具体的には５つのプロセスを定義している
  1. 評価
     現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達成度を考慮し，将来の戦略的目的の達成を最適化するために必要な調整を決定するプロセス
  2. 指示
     経営陣が，実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるプロセス
  3. モニタ
     経営陣が戦略的目的の達成を評価することを可能にするプロセス
  4. コミュニケーション
     経営陣及び利害関係者が，双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のプロセス
  5. 保証
     経営陣が独立した客観的な監査，レビュー又は認証を委託するプロセス

過去問

情報処理安全確保支援士試験 令和元年度 秋期 午前2 問7

【出典：情報処理安全確保支援士試験 令和元年度 秋期 午前2 問7（一部、加工あり）】

JIS Q 27014:2015（情報セキュリティガバナンス）における、情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの”モニタ”はどれか。

1. 情報セキュリティの目的及び戦略について、指示を与えるガバナンスプロセス
   →指示のことです。
2. 戦略的目的の達成を評価することを可能にするガバナンスプロセス
   →正解
3. 独立した立場からの客観的な監査、レビュー又は認証を委託するガバナンスプロセス
   →保証のことです。
4. 利害関係者との間で、特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス
   →コミュニケーションのことです。