サイトアイコン やさしいネットワークとセキュリティ

セキュリティ規程の見直し【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問7】

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問7

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2(一部、加工あり)】

【セキュリティ規程の見直し】
 α工場の調査によって複数の課題が見つかったことから、現行のセキュリティ規程には改善すべき点があると考えられた。M部長は、セキュリティ規程の改定の検討をCさんに指示した。
 Cさんは、これまでFA端末をA-NETに接続してきた敬意を踏まえ、セキュリティ規程には次の項目を追加することを考えた。

 Cさんが項目の追加についてF氏に相談したところ、F氏は、追加する項目に合わせて、図2中の7について⑥申請時に書面に記す事項を追加することを提案した。
 また、Cさんは、APへの接続制限の方法、及び業務用ソフトの脆弱性管理に不備があったことを考慮し、セキュリティに関わる施策の実施及びその効果を定期的に見直すプロセスをセキュリティ規程に明記することを考えた。
 Cさんは、セキュリティ規程の修正案を作成し、M部長に提示した。M部長は修正案を経営会議に提出し承認を得た。

【施策の実施】
 課題の解決のために検討された施策が実施され、大きな効果が得られた。そこで、α工場以外の工場についても調査が開始された。

図4中の工場LAN、標準PC及びFA端末、並びに図5中の事務LAN、F-NET、センサNET、標準PC及びFA端末は、図2中のセキュリティ規程に従うと、それぞれどの部門が管理を担うことになるか。

⑥について、追加すべき事項を二つ挙げ、本文中の用語を用いて、それぞれ20字以内で具体的に述べよ。:各部門が定めた管理・維持のための措置/リスクアセスメントの結果

 「申請時に書面に記す事項を追加」とあるので、セキュリティ規程の見直しにより、各部門が追加で実施する項目についての結果を示せば良さそうです。
 各部門が追加で実施する項目は、「部門機器及び部門NETを適切に管理・維持するための措置」「部門機器及び部門NETをA-NETに接続するための申請を行う前に、当該接続についてリスクアセスメントを実施」ですので、こららの内容を示します。

モバイルバージョンを終了