第23問
組織の情報セキュリティ基準として、「情報セキュリティマネジメントシステム (ISMS)適合性評価制度」が広く使われている。これに関する記述として最も適切な ものはどれか。
- ア JIS Q 20000-1 適合性に関する制度である。
- イ 適合性の認証制度は、「認証機関」、「要員認証機関」、「認定機関」からなる仕組 みである。
- ウ 適合性の認証登録後は、10 年ごとに再認証審査を行う。
- エ 標準として決められたセキュリティレベルでのシステム運用を求める。 DKJC-1F
▼ 解答・解説を見る
正解:イ
解答:イ
ISMS(情報セキュリティマネジメントシステム)適合性評価制度に関する正誤判定。
- ア(×):ISMS適合性評価制度が拠り所とする規格は JIS Q 27001(ISO/IEC 27001)であり、JIS Q 20000-1(ITサービスマネジメント)ではない。
- イ(○):認証の仕組みは、組織を審査する「認証機関」、要員を認証する「要員認証機関」、それら機関を認定する「認定機関」から構成される。正しい。
- ウ(×):認証登録後はおおむね年1回の定期(維持)審査と、3年ごとの再認証審査が行われる。「10年ごと」は誤り。
- エ(×):ISMSは画一的・標準的なセキュリティレベルを一律に求めるのではなく、組織がリスクアセスメントに基づき自ら定めた管理策を継続的に改善(PDCA)する仕組みである。
よって イ。