午後Ⅰ・Ⅱの本文には、「セキュリティ要件」「セキュリティポリシ」が書かれていることが多いです。さらにセキュリティ要件とセキュリティポリシから引用して答えさせる問題が出題されます。
これらのセキュリティ要件・セキュリティポリシは、問題に出てきている企業が定めている規定です。この規定に沿ってない「ルール作り」「対策」を実施しても、OK(正解)にはなりません。 世間一般的な回答を書いても、本文のセキュリティ要件・セキュリティポリシに沿った内容でない場合、マルはもらえないということです。
2つの過去問を使って説明します
2017年秋のセキュリティスペシャリスト午後Ⅱ問1設問2
公式解答
(1)
● 業務上いずれかの事業用システムを利用する必要があること(27文字)
● 申請者に対して認証カードがすでに発行済みでないこと(25文字)
2017年春のセキュリティスペシャリスト午後Ⅱ問1設問2
公式解答
(1)b:A社IRTに報告すべきインシデントの範囲(20文字)
(2)A社IRT主導で、一元的なインシデント対応や判断を行えるようにするため。(36文字)