基本情報技術者 2015年 秋期 午前(科目A) 問40
問題文
ISMS適合性評価制度の説明はどれか。
選択肢
ア:ISO/IEC15408に基づき、IT関連製品のセキュリティ機能の適切性・確実性を評価する。
イ:JISQ15001に基づき、個人情報について適切な保護措置を講じる体制を整備している事業者などを認定する。
ウ:JISQ27001に基づき、組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。(正解)
エ:電子政府推奨暗号リストに基づき、暗号モジュールが適切に保護されていることを認証する。
ISMS適合性評価制度の説明はどれか。【午前2 解説】
要点まとめ
- 結論:ISMS適合性評価制度はJIS Q 27001(ISO/IEC 27001)に基づき組織のISMS適合性を第三者が評価する制度です。
- 根拠:JIS Q 27001は情報セキュリティマネジメントシステム(管理体制)を対象とし、製品や暗号モジュールの検証とは目的が異なります。
- 差がつくポイント:選択肢の番号(規格番号)と「対象(製品/組織/個人情報)」を即座に結び付けて誤答を排除することが合格の鍵です。
正解の理由
正解は ウ です。
ISMS適合性評価制度は、JIS Q 27001(国際的には ISO/IEC 27001)に準拠して組織が構築した情報セキュリティマネジメントシステム(ISMS)が要求事項に適合しているかを評価する制度であり、組織のマネジメントシステム自体を対象とします。
ISMS適合性評価制度は、JIS Q 27001(国際的には ISO/IEC 27001)に準拠して組織が構築した情報セキュリティマネジメントシステム(ISMS)が要求事項に適合しているかを評価する制度であり、組織のマネジメントシステム自体を対象とします。
よくある誤解
- 「情報セキュリティ=製品のセキュリティ評価」と誤認する点。ISMSは組織の管理体制を評価する制度であり、製品評価(Common Criteria等)とは別です。
- JIS Q 15001(個人情報保護)と混同する点。JIS Q 15001は個人情報保護マネジメントに関する規格で、Pマーク(プライバシーマーク)に関連します。
- 電子政府推奨暗号リストを用いた「暗号モジュールの保護認証」と取り違える点。暗号適合性やモジュールの認証は別の基準や手続きが関係します。
解法ステップ
- 問題文のキーワードを抽出:「ISMS適合性評価制度」「適合性評価」「基準」など。
- 選択肢中の規格番号と対象を照合:ISO/IEC 15408、JIS Q 15001、JIS Q 27001、電子政府の暗号基準。
- 規格の対象を確認:製品評価か、個人情報保護か、ISMS(組織の管理体制)か、暗号モジュールかを分類。
- ISMS(組織の情報セキュリティマネジメント)に一致する選択肢を選ぶ。
- 不一致の選択肢(製品・個人情報・暗号)を排除する。
選択肢別の誤答解説
- ア: ISO/IEC 15408(Common Criteria)はIT製品のセキュリティ機能を評価する基準であり、組織のISMS評価ではないため誤りです。
- イ: JIS Q 15001 は個人情報保護マネジメントに関する規格で、Pマークに関係する認定の対象であり、ISMS適合性評価とは別の領域です。
- ウ: JIS Q 27001 に基づき組織の情報セキュリティマネジメントシステムの適合性を評価する点で正解です。
- エ: 電子政府推奨暗号リストは暗号アルゴリズム等に関する推奨であり、暗号モジュールの「適切に保護されていることを認証する」旨の記述とは一致しません(モジュール検証は別規格や検査プロセスが必要)。
補足コラム
ISMS関連の用語整理:
- ISO/IEC 27001(JIS Q 27001):情報セキュリティマネジメントシステムの要求事項。組織のリスク管理と管理策の運用が対象。
- ISO/IEC 27002:運用上の管理策(実践的ガイドライン)。要求事項そのものではなく実装の参考。
- ISO/IEC 15408(Common Criteria):製品・システムのセキュリティ機能を評価するための基準。
試験対策としては、各規格の「対象(誰を評価するか)」を先に覚えると選択肢の切り分けが早くなります。
FAQ
Q1: ISMS適合性評価とISMS認証は同じですか?
A1: 目的は近いですが、呼称や運用の枠組みが異なる場合があります。試験では「JIS Q 27001 に基づく組織のISMSを評価する」と覚えておけば問題ありません。
A1: 目的は近いですが、呼称や運用の枠組みが異なる場合があります。試験では「JIS Q 27001 に基づく組織のISMSを評価する」と覚えておけば問題ありません。
Q2: JIS Q 27001 と JIS Q 15001 の違いは?
A2: JIS Q 27001 は組織の情報セキュリティ管理全般、JIS Q 15001 は個人情報の保護に特化した管理体制を扱います。
A2: JIS Q 27001 は組織の情報セキュリティ管理全般、JIS Q 15001 は個人情報の保護に特化した管理体制を扱います。
Q3: 暗号モジュールの認証はどの規格?
A3: 暗号モジュールの検証・認証は国や用途によって異なる規格(例:FIPS 140 系等)や手続きがあり、電子政府の推奨暗号リストはアルゴリズム選定の指針です。
A3: 暗号モジュールの検証・認証は国や用途によって異なる規格(例:FIPS 140 系等)や手続きがあり、電子政府の推奨暗号リストはアルゴリズム選定の指針です。
関連キーワード: JIS Q 27001、ISO/IEC 27001、ISMS、情報セキュリティマネジメント、JIS Q 15001、Pマーク、ISO/IEC 15408、Common Criteria、暗号モジュール、電子政府推奨暗号リスト
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!