CISSPの練習問題を出題し、解説していくシリーズを始めます。各記事はまず問題文と選択肢が表示されています。「回答」ボタンを押すと正解とその理由が表示されます。
問題に対して色々コメントをいただけると嬉しいです。答えが変、こっちが正しい、意味不明、などなど。では早速初回の問題を出題します。
- 機密性の高い情報は常に特定しやすく、簡単に分類できます。
- 情報特定と分類が行われない場合、すべての情報が同じセキュリティ対策で保護されることになります。
- データがクラウドに保存されている場合、分類は不要です。
- 情報分類はセキュリティ対策には関与せず、主に法的な要件に従うものです。
正解:b 情報特定と分類が行われない場合、すべての情報が同じセキュリティ対策で保護されることになります。
情報の特定と分類が行われないと、組織はどの情報が重要で、どの情報が追加のセキュリティ対策が必要かを判断できません。結果として、一律の対策が適用され、リソースの浪費やセキュリティの不足が生じる可能性があります。
以下の選択肢は間違っています。
a. 機密性の高い情報が必ずしも特定しやすいわけではなく、分類が必要です。
c. クラウドに保存されている場合でも情報分類は重要であり、セキュリティ対策の適用範囲を定めるのに役立ちます。
d. 情報分類は法的な要件だけでなく、セキュリティ対策にも関与します。