ITパスポート 2018年 秋期 問33
問題文
情報処理の関連規格のうち、情報セキュリティマネジメントに関して定めたものはどれか。
選択肢
ア:IEEE 802.3
イ:JIS Q 27001(正解)
ウ:JPEG 2000
エ:MPEG 1
🔒 解説は解答すると表示されます
情報セ処理の関連規格のうち、情報セキュリティマネジメントに関して定めたものはどれか。【ITパスポート 解説】
正解の理由
設問で問われている「情報セキュリティマネジメント」は、組織が情報の機密性・完全性・可用性を維持するための仕組み(管理体制)を指します。これを規定する国際的な枠組みが ISO/IEC 27001(アイエスオー/アイイーシー 27001)であり、日本では同等の規格として JIS Q 27001(日本工業規格)が定められています。したがって、情報セキュリティマネジメントに関する規格は イ の JIS Q 27001 です。
補足説明:
- JIS(Japanese Industrial Standards:日本工業規格)
- ISO(International Organization for Standardization:国際標準化機構)/IEC(International Electrotechnical Commission:国際電気標準会議)
- ISMS(Information Security Management System:情報セキュリティマネジメントシステム)という言葉が関連します。JIS Q 27001 は ISMS の要求事項を定めています。
解法ステップ
- 問題文のキーワードを確認:「情報セキュリティマネジメント」。
- 各選択肢が何を規定するかを思い出す/当てはめる。
- 規格名や数字(例:27001)は何を指すかを手掛かりにする。
- 「情報セキュリティ(管理)」に関する規格は 27000 系列(ISO/IEC 27000 シリーズ)であることを思い出し、JIS Q 27001 を選ぶ。
- 他の選択肢は通信・画像・映像の規格であり、情報セキュリティの管理を定めるものではないと除外する。
短く言うと:問題の「管理(マネジメント)」という語から「システムに関する規格(ISMS)」を連想し、27001(= ISMS の要求規格)を選ぶとよいです。
選択肢別の誤答解説
- ア: IEEE 802.3
- IEEE(Institute of Electrical and Electronics Engineers:電気・電子技術者協会)が定める規格の一つで、イーサネット(LANの有線規格)に関するものです。物理層・データリンク層の通信仕様であり、情報セキュリティの管理体制を定める規格ではありません。
- イ: JIS Q 27001
- 情報セキュリティマネジメント(ISMS)の要求事項を定めた規格です。組織がリスク評価を行い、適切な管理策(アクセス制御、暗号化、バックアップ、インシデント対応など)を実施するための枠組みを示します。
- ウ: JPEG 2000
- JPEG(Joint Photographic Experts Group:画像圧縮の専門家グループ)が定めた画像の圧縮・符号化規格です。画像の保存・転送に関する技術仕様で、セキュリティ管理の規格ではありません。
- エ: MPEG 1
- MPEG(Moving Picture Experts Group:映像・音声符号化の専門家グループ)が定めた音声・映像の符号化規格(古い世代の規格で、CD-ROM 用の動画などに使われた)です。やはりメディアの圧縮や再生に関する規格で、情報セキュリティの管理を定めるものではありません。
よくある誤解
- 「規格の番号(27001)を見ても何となく難しそうで分からない」
- 27000 系列は情報セキュリティに関する一連の規格群です。27001 はその中で「要求事項(何をすべきか)」を示す中心的な規格だと覚えるとよいです。
- 「IEEE や MPEG のような技術規格もセキュリティに関係すると思ってしまう」
- 通信や圧縮の規格は技術的な手順(例えばデータの送受信や圧縮方法)を定めますが、組織としての『管理の仕組み(マネジメント)』を定めるものではありません。問題文の「マネジメント」という語をヒントにすることが重要です。
補足コラム
- JIS Q 27001 / ISO/IEC 27001 の中身(簡単に)
- 主な目的:情報のリスクを評価し、適切な管理策を導入して継続的に改善すること。
- よく出てくる概念:リスクアセスメント(リスク評価)、リスク対応(リスクを避ける・受容する・低減するなど)、PDCA(Plan-Do-Check-Act:計画→実行→評価→改善のサイクル)。
- 認証:外部の審査機関による審査を受けて「ISMS 認証」を取得できます。顧客や取引先に対する信頼性向上に役立ちます。
- 覚え方のコツ:
- 「27000 シリーズ=セキュリティ」と覚える。具体的には 27001 が要求、27002 が実践的な対策例(ガイドライン)です。
FAQ
Q1. JIS Q 27001 は ISO/IEC 27001 と同じですか?
A1. はい。JIS Q 27001 は ISO/IEC 27001 を日本語化・国内規格化したものです。内容は基本的に一致します。
A1. はい。JIS Q 27001 は ISO/IEC 27001 を日本語化・国内規格化したものです。内容は基本的に一致します。
Q2. ISMS(アイエスエムエス)って何ですか?
A2. ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が情報を守るための「仕組み」のことです。方針作成、リスク評価、管理策の実施、監査と改善までを含みます。
A2. ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が情報を守るための「仕組み」のことです。方針作成、リスク評価、管理策の実施、監査と改善までを含みます。
Q3. 企業のセキュリティ対策と JIS Q 27001 の違いは?
A3. 企業独自の対策は自由ですが、JIS Q 27001 は「何をどう管理すればよいか」という枠組み(要求事項)を示します。これに沿って対策を整備すると、第三者による評価・認証が可能になります。
A3. 企業独自の対策は自由ですが、JIS Q 27001 は「何をどう管理すればよいか」という枠組み(要求事項)を示します。これに沿って対策を整備すると、第三者による評価・認証が可能になります。
関連キーワード: 情報セキュリティ、ISMS、ISO/IEC 27001、JIS Q 27001、PDCA、リスクアセスメント、IEEE 802.3、JPEG 2000、MPEG-1、認証、管理策

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

