ドメイン1からの設問です。組織の中でのセキュリティ機能の位置付けに関する問題です。
セキュリティガバナンスにおいて、組織が最も行うべき活動には次のうちどれが含まれますか?
a. 組織のセキュリティ機能を特定のプロジェクトにのみ適用すること
b. 組織のセキュリティ機能を他社の機能と統合すること
c. 組織のセキュリティ機能を組織のビジネス戦略に整合させること
d. 組織のセキュリティ機能を組織の最優先事項として扱うこと
正解:c 組織のセキュリティ機能を組織のビジネス戦略に整合させること
正答が正しい理由
セキュリティガバナンスでは、組織はセキュリティ機能をビジネス戦略に整合させ、組織の目標とミッションに合わせる必要があります。
他の選択肢が間違っている理由
a. 組織のセキュリティ機能を特定のプロジェクトにのみ適用することは狭義であり、全体的な視点が欠けます。
b. 組織のセキュリティ機能を他社の機能と統合することは、独自の要件やリスクに対処する上で難しい場合があります。
d. 組織の最優先事項はビジネスゴールやそれを実現するビジネス戦略であり、セキュリティ機能はそれを支えるものです。
CISSPは組織のビジネス戦略、ビジネスゴール、ミッションをしっかりと理解してそれらに沿ったセキュリティ機能を確立する必要があります。その結果セキュリティ機能は組織においてビジネスの阻害者ではなくビジネス支援者になります。
設問がビジネスの目的や戦略とセキュリティ機能を比較する場合、ビジネスの目的や戦略が必ず優先することを覚えておいて下さい。
ちなみにですが、技術背景の人(エンジニアなど)がCISSPに取り組む際に、このようなタイプの問題を見てドメイン1で挫折しそうになるかも知れません。ドメイン1は組織におけるセキュリティの位置付けであったりセキュリティの管理施策(技術施策ではなく)が中心となるからです。個人的には先にドメイン3あたりから勉強を始めて、1周回ってからドメイン1を勉強すると良いと思います。その時に自組織の中での情報セキュリティ機能の位置付けを把握しその活動の全体像をドメイン1の内容と比較すると理解が進むかも知れません。
