システム監査平成13年問15
情報システムのコンティンジェンシープランに関する記述のうち、
適切なものはどれか。
ア コンティンジェンシープランの目的は、リスクを回避するため
のコントロールを設計することである。
イ 障害の抑制・防止対策が適切に設定されているシステムは、コ
ンティンジェンシープランの対象外である。
ウ 障害復旧までの見込み時間の長さによって、幾つかの対応方法
を盛り込んだコンティンジェンシープランを策定するする。
エ ソフトウェアのバグによるシステムの停止は、コンティンジェ
ンシープランの対象外である。
解答
ウ 障害復旧までの見込み時間の長さによって、幾つかの対応方法
を盛り込んだコンティンジェンシープランを策定するする。
危機管理について「事故や災害は必ず防ぐことができる」ではなく
「事故や災害は必ず起きる」という考えの元、インシデント対応に
対する計画が立てられていなければなりません。
◇コンティンジェンシープラン(緊急時対応計画) とは。。。
緊急事態が発生した際の業務の復旧や継続についての対応方針、
対応要領をあらかじめ定めた総合的な計画のことです。
◇ビジネスコンティニュイティプラン(事業継続計画) とは。。。
事業活動を行う上での安全性を高め、短期間での事業再開の可能
性を追求し、リスク発生前の状態へ迅速に復旧できることを目的
とした計画のことです。
◇ディザスタリカバリプラン(災害復旧計画) とは。。。
災害などによって生じたシステム障害を復旧させることを目的と
した計画のことです。
セキュリティインシデントが発生した場合、コンティンジンシー
プランに従い、適切に初動処理にて被害拡大を回避した後、事故
からのシステム復旧を行わなければなりません。
被害回復や再発防止のために必要であれば、システムの再構成を
実施します。
> ア コンティンジェンシープランの目的は、リスクを回避するため
> のコントロールを設計することである。
不適切な記述です。
コンティンジェンシープランは、リスクを回避するためのものでは
なく、事故が発生したときにどうするかの対策を計画したものです。
> イ 障害の抑制・防止対策が適切に設定されているシステムは、コ
> ンティンジェンシープランの対象外である。
不適切な記述です。
障害の抑制・防止対策を適切に行っていたとしても、事故が起こる
可能性が残ります。
> ウ 障害復旧までの見込み時間の長さによって、幾つかの対応方法
> を盛り込んだコンティンジェンシープランを策定するする。
適切な記述です。
事故が発生した際の業務の復旧や継続についての対応方針や対応要
領を幾つか想定し、コンティンジェンシープランを策定します。
> エ ソフトウェアのバグによるシステムの停止は、コンティンジェ
> ンシープランの対象外である。
不適切な記述です。
ソフトウェアのバグであっても、システム停止を起こした場合のコ
ンテンジェンシープランが必要になります。
適切なものはどれか。
ア コンティンジェンシープランの目的は、リスクを回避するため
のコントロールを設計することである。
イ 障害の抑制・防止対策が適切に設定されているシステムは、コ
ンティンジェンシープランの対象外である。
ウ 障害復旧までの見込み時間の長さによって、幾つかの対応方法
を盛り込んだコンティンジェンシープランを策定するする。
エ ソフトウェアのバグによるシステムの停止は、コンティンジェ
ンシープランの対象外である。
解説
難易度 ★★解答
ウ 障害復旧までの見込み時間の長さによって、幾つかの対応方法
を盛り込んだコンティンジェンシープランを策定するする。
危機管理について「事故や災害は必ず防ぐことができる」ではなく
「事故や災害は必ず起きる」という考えの元、インシデント対応に
対する計画が立てられていなければなりません。
◇コンティンジェンシープラン(緊急時対応計画) とは。。。
緊急事態が発生した際の業務の復旧や継続についての対応方針、
対応要領をあらかじめ定めた総合的な計画のことです。
◇ビジネスコンティニュイティプラン(事業継続計画) とは。。。
事業活動を行う上での安全性を高め、短期間での事業再開の可能
性を追求し、リスク発生前の状態へ迅速に復旧できることを目的
とした計画のことです。
◇ディザスタリカバリプラン(災害復旧計画) とは。。。
災害などによって生じたシステム障害を復旧させることを目的と
した計画のことです。
セキュリティインシデントが発生した場合、コンティンジンシー
プランに従い、適切に初動処理にて被害拡大を回避した後、事故
からのシステム復旧を行わなければなりません。
被害回復や再発防止のために必要であれば、システムの再構成を
実施します。
> ア コンティンジェンシープランの目的は、リスクを回避するため
> のコントロールを設計することである。
不適切な記述です。
コンティンジェンシープランは、リスクを回避するためのものでは
なく、事故が発生したときにどうするかの対策を計画したものです。
> イ 障害の抑制・防止対策が適切に設定されているシステムは、コ
> ンティンジェンシープランの対象外である。
不適切な記述です。
障害の抑制・防止対策を適切に行っていたとしても、事故が起こる
可能性が残ります。
> ウ 障害復旧までの見込み時間の長さによって、幾つかの対応方法
> を盛り込んだコンティンジェンシープランを策定するする。
適切な記述です。
事故が発生した際の業務の復旧や継続についての対応方針や対応要
領を幾つか想定し、コンティンジェンシープランを策定します。
> エ ソフトウェアのバグによるシステムの停止は、コンティンジェ
> ンシープランの対象外である。
不適切な記述です。
ソフトウェアのバグであっても、システム停止を起こした場合のコ
ンテンジェンシープランが必要になります。