次のうち、セキュリティ計画プロセスの初期における重要な要素はどれですか?
a. システムレビューの時間枠の確保
b. セキュリティ意識向上プログラムの実現
c. 報告関係の定義
d. 変更管理プログラムを策定する
Which of the following is a key element during the initial security planning process?
a. Establish system review time frames
b. Implement a security awareness program
c. Defining reporting relationships
d. Institute a change management program
文献: Handbook of Information Security Management, edited by Ruthberg and Tipton, Auerbach, 1993, pg 75
元記事URL:https://community.isc2.org/t5/Certifications/CISSP-questions/m-p/18627/highlight/true#M3684
CISSPの試験問題は上記の四角枠内のような感じで出題されます。この記事では読者の方に色々と考えて欲しいので、正解はブログの一番下に明示します。ただ鍵となる部分や考え方の説明の中で正解に言及することになるので、下記の解説を読む前に、まずご自身でどれが正しいのか考えてみてください。
rsladeさんの解説を見てみましょう。
問題に参考文献が示されています。 すべての試験問題は作成時に、元となるセキュリティに関する文献から、少なくとも2つの文献によって裏付けられています。 ちなみにいわゆるCISSPスタディガイド(Sybex, Shon Harris, Conradなど)はソースとなるセキュリティに関する文献ではありません。
この質問のキーワードは「初期」です。 システムレビューの時間枠、セキュリティ認識プログラム、および変更管理プログラムを確立することはすべて重要ですが、それらはセキュリティ計画の後半で考えるべきことです。
もう一つの重要な点にも注意してください。 これらの答えはすべて、ある意味で「正しい」ものです。 4つの「正しい」答えに直面しているのです。そのうちの1つがマネジメント的な答えである場合、その1つが正解となる可能性が高いでしょう。 報告関係を定義することは、計画の初期段階で確立したいことであり、マネジメント的な答えでもあります。 (試験を通してコーチを手伝ったある人は、この1つのヒントが試験全体の約10%に当てはまると言っていました。)
問題文を読むと「初期に」という言葉が入っていることに気がつきます。この4つはいずれもセキュリティ計画で決めるべきことですが、その中で他の3つよりも先にやるべきことがあり、それを選ばなければなりません。
a.はシステム開発プロセスの詳細、b.は従業員教育です。c.はセキュリティ組織運営の規則の一部で、誰が誰に報告するのかを決めることです。インシデント発生時やセキュリティ計画の承認時にも使われます。d.はシステム運用時の変更管理のことです。
誰が誰に報告するのかの定義は、他のものよりも先に、出来るだけ早くやっておく必要があります。インシデントが発生しているのに、まだ報告関係が決まっていなかったら、誰に報告したら良いのでしょうか、、、これは本当に危機的な状況です。
この問題の難しさの一つは、a.はシステム開発時のセキュリティ改善、b.は従業員のセキュリティへの意識改善とそれによるミスなどの低減、d.は運用時のセキュリティ改善、なので、それぞれ役に立ち、また具体的なので選びたくなる点にもあると思います。一方c.は組織運営的な側面なので、具体的なセキュリティ改善には見えません。セキュリティエンジニアはa.やd.を選んでしまうかもしれません。
上記の意味でもc.はよりマネジメント的な選択肢です。sladeさんの解説にもあるように、選択肢の中によりマネジメント的な選択肢があれば、実はそれが答えである可能性は高いのです。
正解 C
追記:この問題の選択肢cの代わりに、「c. セキュリティポリシーの策定」とあったら正解はどうなるでしょうか。やはりcが正解でしょう。理由は、セキュリティ計画の他の3つ(レビュー、教育、変更管理)はポリシーに基づいて決まるからです。