ITパスポート 2017年 秋期 問80
問題文
ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることだけを全て挙げたものはどれか。
選択肢
ア:a
イ:b(正解)
ウ:b, c
エ:c
🔒 解説は解答すると表示されます
ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることだけを全て挙げたものはどれか。【ITパスポート 解説】
正解の理由
選択肢の中で、イ(b のみ)が正解です。
その理由は、ISMS認証は「ISMS(Information Security Management System:情報セキュリティマネジメントシステム)を構築し、その仕組みが規格(例:ISO/IEC 27001/JIS Q 27001)に適合していると第三者の審査で判断されたこと」を意味するからです。つまり認証から確実に判断できるのは「ISMSが導入され、外部の審査で適合性が確認された」という点だけです。
それ以外の内容(たとえば『すべての脅威が排除されている』『事故が絶対に起きない』『常に対策が有効に運用されている』など)までは認証から直接は判断できません。
その理由は、ISMS認証は「ISMS(Information Security Management System:情報セキュリティマネジメントシステム)を構築し、その仕組みが規格(例:ISO/IEC 27001/JIS Q 27001)に適合していると第三者の審査で判断されたこと」を意味するからです。つまり認証から確実に判断できるのは「ISMSが導入され、外部の審査で適合性が確認された」という点だけです。
それ以外の内容(たとえば『すべての脅威が排除されている』『事故が絶対に起きない』『常に対策が有効に運用されている』など)までは認証から直接は判断できません。
解法ステップ
- ISMS認証が何を示すかを押さえる。
- ISMS = Information Security Management System(情報セキュリティを管理する仕組み)
- 認証は「仕組み(管理システム)が規格に適合している」と第三者が審査で認めたことを示す。
- 各選択肢(a, b, c)が「仕組みの存在・適合」について述べているか、「効果や排除」など証明できないことを述べているかを見分ける。
- 認証で確実に言えるのは「仕組みがある・審査で適合と判断された」ことだけ。
- 「だけ(only)」という条件に注意する。余計な項目が含まれている選択肢は除外する。
この流れで、b のみを挙げた イ が正しいと判断します。
選択肢別の誤答解説
- ア: a
- 誤りの可能性:a が「(認証で判断できない)対策の完全性」などであれば、認証からは判断できないため不正解になります。
- 要点:認証=仕組みの適合確認、ではないことをチェック。
- イ: b(正解)
- 正しい理由:b が「ISMSが導入され、審査で適合とされた」ことを述べているなら、認証から確実に判断できます。認証はまさにこれを示します。
- ウ: b, c
- 誤りの理由:b は正しいが、c が「運用の完全性や脅威の不存在」など認証だけでは判断できない内容だと、組み合わせになっているため「だけ」には当たりません。余分なものが含まれている場合は不正解です。
- エ: c
- 誤りの理由:c が認証からは判断できない内容(完全な安全や事故の未発生など)であれば不正解です。認証は「適合性」を示すに過ぎません。
よくある誤解
- 「認証 = セキュリティが完璧」
- 誤りです。認証は仕組み(マネジメント)が規格に合っているかを示すだけで、脅威が完全に無いことや常に安全であることを保証するものではありません。
- 「認証は一度取れば永続的に有効」
- 誤りです。認証後も定期の監査(サーベイランス)があり、維持されなければ認証は取り消されることがあります。
- 「認証範囲は組織全体に自動適用される」
- 誤りです。認証は『スコープ(範囲)』が明示されます。スコープ外の業務や拠点については認証の対象外です。
補足コラム
- ISO/IEC 27001(または日本規格のJIS Q 27001)は、情報セキュリティに関するマネジメントシステムの国際標準です。企業は「方針の策定」「リスクアセスメント(危険の評価)」「対策の実施・運用」「監査・改善」といったPDCA(Plan-Do-Check-Act)サイクルに基づいて運用する必要があります。認証はその運用や文書化が規格に合っているかを第三者が評価した結果です。
- 認証を持つ組織でも、定期的な見直しや訓練、内部監査が重要です。認証は出発点であり、継続的な改善が求められます。
FAQ
Q1: ISMS認証を取ればサイバー攻撃を受けなくなりますか?
A1: いいえ。認証は管理の仕組みの適合性を示すだけで、攻撃を完全に防ぐ保証ではありません。攻撃を受けるリスクは残りますが、対応や予防の仕組みが整っている可能性は高まります。
A1: いいえ。認証は管理の仕組みの適合性を示すだけで、攻撃を完全に防ぐ保証ではありません。攻撃を受けるリスクは残りますが、対応や予防の仕組みが整っている可能性は高まります。
Q2: 認証の有効期間はどれくらいですか?
A2: 一般に、認証は取得後も定期監査(通常1年ごとのサーベイランス)と更新審査(数年ごと)があり、継続的に維持されます。放置すると認証が失効することがあります。
A2: 一般に、認証は取得後も定期監査(通常1年ごとのサーベイランス)と更新審査(数年ごと)があり、継続的に維持されます。放置すると認証が失効することがあります。
Q3: 認証の範囲はどう確認すればいいですか?
A3: 認証書や認証機関の公表資料に「スコープ(適用範囲)」が明記されています。どの業務や拠点が対象かを必ず確認してください。
A3: 認証書や認証機関の公表資料に「スコープ(適用範囲)」が明記されています。どの業務や拠点が対象かを必ず確認してください。
関連キーワード: ISMS、ISO27001、情報セキュリティマネジメント、認証、監査、PDCA、リスクアセスメント

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

