科目A問1
情報セキュリティ管理基準(平成 28 年)に関する記述のうち,適切なものはどれか。
| “ガバナンス基準”,“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。 | |
| JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。 | |
| 情報セキュリティ対策は,“管理策基準”に挙げられた管理策の中から選択することとしている。 | |
| トップマネジメントは,“マネジメント基準”に挙げられている事項の中から,自組織に合致する事項を選択して実施することとしている。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
情報セキュリティ管理基準(平成28年版)は、JIS Q 27001:2014(ISMS要求事項)およびJIS Q 27002:2014(管理策の実施基準)との整合性を図り、組織の情報資産を保護するための指針として策定されています。
これにより、国際規格ISO/IEC 27001シリーズと国内の情報セキュリティマネジメントを統一的に運用できるようになっています。
これにより、国際規格ISO/IEC 27001シリーズと国内の情報セキュリティマネジメントを統一的に運用できるようになっています。
| ア. | “ガバナンス基準”,“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。 |
| 誤り。情報セキュリティ管理基準は「ガバナンス基準」「マネジメント基準」「管理策基準」の三部構成ではありません。 | |
| イ. | JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。 |
| 正しい。JIS Q 27001及びJIS Q 27002と整合を図り、国際的な管理体制と一致させています。 | |
| ウ. | 情報セキュリティ対策は,“管理策基準”に挙げられた管理策の中から選択することとしている。 |
| 誤り。「管理策基準」ではなく、「管理策」は附属書Aなどに基づき選定します。 | |
| エ. | トップマネジメントは,“マネジメント基準”に挙げられている事項の中から,自組織に合致する事項を選択して実施することとしている。 |
| 誤り。トップマネジメントの役割は方針策定・承認であり、個別の管理策を選択する立場にはありません。 |