分野6~8のチェック
広告
QMさん
(No.1)
いわゆるマネジメント系ですね。
分野6 プロジェクトマネジメント
この分野はよく知らないです。
プロジェクト
途中からプロジェクトマネジメントの説明になっているのが変な感じ。
プロジェクトマネジメント
「プロジェクト」という用語は知っている前提で説明していいのでは。
時間の対象群
「対象群」は、「手法」ではなく、プロセスの集合。
対象群に含まれるプロセスとして、「活動の順序付け」「活動期間の見積り」「スケジュールの作成」がある、という説明でないと変。
英語は単にTime Managementになっているけど。
PERT
PERT図はアローダイアグラムのこと、という記述があってもいいような。
プル型コミュニケーション
メールマガジンはプッシュ型では? プッシュ型の所に「メールやニュースレター」と書いてあるし。
分野6 プロジェクトマネジメント
この分野はよく知らないです。
プロジェクト
途中からプロジェクトマネジメントの説明になっているのが変な感じ。
プロジェクトマネジメント
「プロジェクト」という用語は知っている前提で説明していいのでは。
時間の対象群
「対象群」は、「手法」ではなく、プロセスの集合。
対象群に含まれるプロセスとして、「活動の順序付け」「活動期間の見積り」「スケジュールの作成」がある、という説明でないと変。
英語は単にTime Managementになっているけど。
PERT
PERT図はアローダイアグラムのこと、という記述があってもいいような。
プル型コミュニケーション
メールマガジンはプッシュ型では? プッシュ型の所に「メールやニュースレター」と書いてあるし。
2025.08.23 22:35
QMさん
(No.2)
忙しくて少し時間が空いてしまいました。
分野7 サービスマネジメント
これもiパスの知識しかないです。
サービスレベル管理
「SLM」の表記も明示。説明には「SLA」を使いたい。
変更管理
「変更要求を受け取る」から「変更内容を承認する」までが変更管理の対象。
「変更の提案から実施」は不適切と思われる。
変更管理での承認を受けて「リリース及び展開管理」が行われる、というのも明記したい。
運用テスト
一文だけ「です・ます調」。
iパスだと「システムテストとの違い」も出るが・・・セキュマネでは不要かな?
受入れテスト
運用テストと受入れテストは何が違うのかは、触れなくていいか?
セキュマネ的には不要な気もするが、知らないと両方読んだときに悩みそうな気もする。
リリース及び展開管理
変更管理との関係・切り分けがきちんと説明できていない感じ。
インシデント管理
問題管理との違い・関係を明確に。
インシデント
単に「予期しない」ではなく、「サービスの低下を引き起こすような」という表現を入れたい。
サービスマネジメント分野なので、「データ漏洩」は例として微妙。
RPO
これは完全に間違っているような。
過去1時間以内に作成されたデータは失われる可能性がある、それ以前のデータは復旧可能。・・・だよね?
運用オペレーション
間違いではないかもしれないが、運用もオペレーションも operation なので、なんか気持ち悪い・・・
サービスデスク
単一の窓口であることもポイントとして明示したい。
ファシリティマネジメント
「業務用不動産」という表現を入れてもいいかも。「人的資源」は違うと思う。
セキュリティ分野的には、例はUPSやセキュリティワイヤなどを挙げるほうがいい。
施設管理、設備管理
英語が全部 Facility Management なのだが、いいのかな?
分野7 サービスマネジメント
これもiパスの知識しかないです。
サービスレベル管理
「SLM」の表記も明示。説明には「SLA」を使いたい。
変更管理
「変更要求を受け取る」から「変更内容を承認する」までが変更管理の対象。
「変更の提案から実施」は不適切と思われる。
変更管理での承認を受けて「リリース及び展開管理」が行われる、というのも明記したい。
運用テスト
一文だけ「です・ます調」。
iパスだと「システムテストとの違い」も出るが・・・セキュマネでは不要かな?
受入れテスト
運用テストと受入れテストは何が違うのかは、触れなくていいか?
セキュマネ的には不要な気もするが、知らないと両方読んだときに悩みそうな気もする。
リリース及び展開管理
変更管理との関係・切り分けがきちんと説明できていない感じ。
インシデント管理
問題管理との違い・関係を明確に。
インシデント
単に「予期しない」ではなく、「サービスの低下を引き起こすような」という表現を入れたい。
サービスマネジメント分野なので、「データ漏洩」は例として微妙。
RPO
これは完全に間違っているような。
過去1時間以内に作成されたデータは失われる可能性がある、それ以前のデータは復旧可能。・・・だよね?
運用オペレーション
間違いではないかもしれないが、運用もオペレーションも operation なので、なんか気持ち悪い・・・
サービスデスク
単一の窓口であることもポイントとして明示したい。
ファシリティマネジメント
「業務用不動産」という表現を入れてもいいかも。「人的資源」は違うと思う。
セキュリティ分野的には、例はUPSやセキュリティワイヤなどを挙げるほうがいい。
施設管理、設備管理
英語が全部 Facility Management なのだが、いいのかな?
2025.08.28 20:11
momochanさん
(No.3)
RPO
RPO(目標復旧時点)の定義からすればQMさんの指摘が正しく、解説は間違った説明になっていますね。
(令和5年3月)内閣府 防災担当
RPO
「高いRPOは頻繁なバックアップを意味し」も間違った説明だと思います。
RPOが高い(RPO値が大きい?)なら、データの損失を許容できる時間が長いということですから、バックアップ取得間隔も長い、バックアップ頻度は低いと考えられ、頻繁なバックアップという表現にはならないと思います。
そもそも高いとか頻繁とか抽象的な表現もどうかと思いますが…。
バックアップの取得間隔が短いなら、それに応じた短いRPOを実現できるでしょう。
RLO
説明が全く違うものになっています。
Reverse Line Feed Orderって何?
RLOとは、Recovery Level Objective(目標復旧レベル)のことです。
>過去1時間以内に作成されたデータは失われる可能性がある、それ以前のデータは復旧可能。・・・だよね?
RPO(目標復旧時点)の定義からすればQMさんの指摘が正しく、解説は間違った説明になっていますね。
失ったデータを過去のどの時点まで復旧させるか(例えば、1週間前のデータまで、1日前のデータまでなど)の目標値を、目標復旧時点(Recovery Point Objective、RPO)と呼ぶ。データは直近まで復旧させるのがもちろん望ましいが、相応して対策費用が高くなる場合が多い。
出典:事業継続ガイドライン ―あらゆる危機的事象を乗り越えるための戦略と対応―(令和5年3月)内閣府 防災担当
RPO
「高いRPOは頻繁なバックアップを意味し」も間違った説明だと思います。
RPOが高い(RPO値が大きい?)なら、データの損失を許容できる時間が長いということですから、バックアップ取得間隔も長い、バックアップ頻度は低いと考えられ、頻繁なバックアップという表現にはならないと思います。
そもそも高いとか頻繁とか抽象的な表現もどうかと思いますが…。
バックアップの取得間隔が短いなら、それに応じた短いRPOを実現できるでしょう。
RLO
説明が全く違うものになっています。
Reverse Line Feed Orderって何?
RLOとは、Recovery Level Objective(目標復旧レベル)のことです。
2025.08.29 17:39
QMさん
(No.4)
Momochanさん
RPOの正確な定義、ありがとうございます。
「高い」はやっぱり変ですよね。「短い」なら一応通じますが。
あ、ここは見落としていました。
RLOウイルスというのがあるので、そちらの話に引っ張られたのでしょう。
RLOは、アラビア語のように、行を右から左へ表示するやつです。
これを悪用すると、例えば abctxt.exe を abcexe.txt と表示して、ファイル種別を誤認させることができるというもの。
RPOの正確な定義、ありがとうございます。
「高い」はやっぱり変ですよね。「短い」なら一応通じますが。
> Reverse Line Feed Orderって何?
あ、ここは見落としていました。
RLOウイルスというのがあるので、そちらの話に引っ張られたのでしょう。
RLOは、アラビア語のように、行を右から左へ表示するやつです。
これを悪用すると、例えば abctxt.exe を abcexe.txt と表示して、ファイル種別を誤認させることができるというもの。
2025.08.30 10:23
momochanさん
(No.5)
QMさん
Right-to-Left Overrideによる拡張子の偽装ですね。
当時、勉強していました!
知らない方はこちらをどうぞ。
予想問題vol.9 問5
https://www.sg-siken.com/kakomon/09_yosou/q5.html
Right-to-Left Overrideによる拡張子の偽装ですね。
当時、勉強していました!
知らない方はこちらをどうぞ。
予想問題vol.9 問5
https://www.sg-siken.com/kakomon/09_yosou/q5.html
2025.08.30 12:45
QMさん
(No.6)
分野8 システム監査
うっかりプレビューだけで閉じて消してしまった・・・
書いていたのはこの3つだけだったと思う。
監査の独立性と客観性の保持
外観的独立性と精神的独立性、みたいな用語があったような。
情報セキュリティ監査基準
これは間違い。評価基準は「管理基準」のほう。
監査基準は、計画、実施、報告など、監査人の行動についての指針。
情報セキュリティ管理基準
一般的な単語のように説明しているが、これは「情報セキュリティ監査基準」と対になる、監査の際に使う評価基準の名称。
ガイドライン等でも多かったですが、特定のものを指す名称なのに、普通に単語を解釈して説明をでっちあげる傾向がありますね。
うっかりプレビューだけで閉じて消してしまった・・・
書いていたのはこの3つだけだったと思う。
監査の独立性と客観性の保持
外観的独立性と精神的独立性、みたいな用語があったような。
情報セキュリティ監査基準
これは間違い。評価基準は「管理基準」のほう。
監査基準は、計画、実施、報告など、監査人の行動についての指針。
情報セキュリティ管理基準
一般的な単語のように説明しているが、これは「情報セキュリティ監査基準」と対になる、監査の際に使う評価基準の名称。
ガイドライン等でも多かったですが、特定のものを指す名称なのに、普通に単語を解釈して説明をでっちあげる傾向がありますね。
2025.08.30 14:08
momochanさん
(No.7)
監査人の倫理
この倫理基準には、守秘義務、利益相反の回避、及び透明性が含まれ
⇒システム監査基準では、「監査人の倫理」に関して監査人が守るべき4つの原則を明示していますので、まずはそこを示すべきかと。
・誠実性
・客観性
・監査人としての能力及び正当な注意
・秘密の保持
パワーワードですね。
信頼できる情報源でファクトチェック!
この倫理基準には、守秘義務、利益相反の回避、及び透明性が含まれ
⇒システム監査基準では、「監査人の倫理」に関して監査人が守るべき4つの原則を明示していますので、まずはそこを示すべきかと。
・誠実性
・客観性
・監査人としての能力及び正当な注意
・秘密の保持
>説明をでっちあげる
パワーワードですね。
信頼できる情報源でファクトチェック!
2025.08.30 14:45
momochanさん
(No.8)
職務分掌
経理部門が財務管理を担当し、営業部門が顧客対応を行う
⇒これは「職務分掌」ではなく「業務分掌」ではないでしょうか。
職務分掌は「経理部の中で、伝票起票は担当者A、承認は係長B、最終決裁は課長Cが行う」といったような例があげられると思います。
経理部門が財務管理を担当し、営業部門が顧客対応を行う
⇒これは「職務分掌」ではなく「業務分掌」ではないでしょうか。
職務分掌は「経理部の中で、伝票起票は担当者A、承認は係長B、最終決裁は課長Cが行う」といったような例があげられると思います。
2025.09.01 22:27
広告
返信投稿用フォーム
投稿記事削除用フォーム
広告
2025.08.19 23:20|
3