Maxima で綴る数学の旅

紙と鉛筆の代わりに、数式処理システムMaxima / Macsyma を使って、数学を楽しみましょう

-セキュリティ- CISSPの試験問題はなぜ難しいのか 例題4

f:id:jurupapa:20200330233351j:plain

 

このブログで取り上げるrsladeさんの例題もこれで最後です。興味のある方、CISSPを受験しようとしている方はぜひ、ISC2 Community掲示板の下記のスレッドを訪問してください。他にも20問程度の例題と答え、解説を読むことができます。

 

https://community.isc2.org/t5/Exams/CISSP-questions/m-p/18626/highlight/true#M93


community.isc2.org

では早速今日の例題を紹介しましょう。この例題も範囲としてはリスク管理になります。

次のうちどれがセキュリティ計画のミッションステートメントの要素ではありませんか?
a. 目標声明
b. 背景説明
c. スコープの説明
d. 機密性に関する声明

 

Which of the following is NOT an element of a security planning mission statement?
a. Objectives statement
b. Background statement
c. Scope statement
d. Confidentiality statement

文献: Handbook of Information Security Management, edited by Ruthberg and Tipton, Auerbach, 1993, page 73

元記事URL: https://community.isc2.org/t5/Certifications/CISSP-questions/m-p/18641/highlight/true#M3688

 

この例題の問題文には「セキュリティ計画のミッションステートメント」という見慣れない用語が使われています。ミッションステートメントは、使命の宣言、組織のミッションステートメントと考えて、綱領という訳語でも良いと思います。セキュリティを計画する際の組織の綱領(使命の宣言)、なんだか分かりますか。組織の上位の文書であることは分かりますよね。

rsladeさんの解説を見てみましょう。

これは、よくあるセキュリティ関連の単語を記憶するだけではCISSPとして不十分であることを保証するタイプの質問です。それらの背後にある概念を理解する必要があります。 「セキュリティ計画のミッションステートメント」とは何でしょうか? それはより簡単に「ポリシー」として知られています。ポリシーには何が含まれていますか?特に、企業の背景、目的、および保護しようとしている対象の範囲、などです。一方、機密性についてあなたがやろうとしていること(あなたが珍しい会社にあり、機密性を気にしないか、それが本当に重要な場合を除いて)は、通常、下位の基準または手順に記載されます。
 
質問で使われる言葉が、あなたが勉強した言葉遣いに正確に一致しているかどうかに悩まされないでください。その方法ではうまくいきません。あなたが言葉の背後にある基本を理解していることを確認してください。

 ポリシー! なるほど確かにこれはセキュリティポリシーのことです。セキュリティを計画する際の綱領であり、組織の使命を述べており、これに基づいて意思決定を行うことができるのです。

とすると、そこに含まれないのはどれか、、、セキュリティの一般的な文書体系であるポリシー、標準、手続き、ガイドラインにそれぞれ何を書くべきか、すでに勉強していると思います。その中で、「機密性に関する記述」は要件であれば標準に、具体的なアクションであれば手続きに書くべきです。rsladeさんが指摘するような特殊な状況を除けば、ポリシーに書くことではありません。

セキュリティポリシーの概念をしっかり理解しているか、セキュリティの文書体系を理解しているか、そういったことが問われる例題になっています。

 

正解:d