情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

JIS Q 27014は、情報セキュリティガバナンスの概念及び原則を示したJIS規格です。

この規格では、情報セキュリティガバナンスを「組織の情報セキュリティ活動を指導し，管理するシステム」と定義し、情報セキュリティガバナンスの目的を3つ挙げています。

戦略の整合

情報セキュリティの目的及び戦略を，事業の目的及び戦略に合わせる。

価値の提供

経営陣及び利害関係者に価値を提供する。

説明責任

情報リスクに対して適切に対処されていることを確実にする。

そして、情報セキュリティを統治するためのプロセスとして、評価、指示、モニター、コミュニケーション及び保証の5つを定義しています。これが設問に記載されているガバナンスプロセスです。

評価

現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達成度を考慮し，将来の戦略的目的の達成を最適化するために必要な調整を決定するプロセス

指示

経営陣が，実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるプロセス

モニター

経営陣が戦略的目的の達成を評価することを可能にするプロセス

コミュニケーション

経営陣及び利害関係者が，双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のプロセス

保証

経営陣が独立した客観的な監査，レビュー又は認証を委託するプロセス

選択肢の各記述とガバナンスプロセスは次のように対応します。

• "指示"の説明です。
• 正しい。"モニター"の説明です。
• "保証"の説明です。
• "コミュニケーション"の説明です。