ホーム > ITストラテジスト試験 > 2022年
ITストラテジスト試験 2022年 午前2 問24
“政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準”に関する記述のうち、適切なものはどれか。
ア:TISMAP管理基準は.ガバナンス基準、マネジメント基準管理策基準監査基準の四つから構成されている。
イ:ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示。モニタ、コミュニケーション及び保証の各プロセスが定められている。(正解)
ウ:管理策基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めている。
エ:マネジメント基準は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えている。
解説
政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準【午前2 解説】
要点まとめ
- 結論:ISMAPのガバナンス基準は経営陣が実施主体で、評価や指示など5つのプロセスが定められている。
- 根拠:ISMAP管理基準はガバナンス基準、マネジメント基準、管理策基準、監査基準の4つで構成され、各基準の役割が明確に区分されている。
- 差がつくポイント:ガバナンス基準の実施主体とプロセスの理解、管理策基準とマネジメント基準の違いを正確に把握することが重要。
正解の理由
選択肢イは、ガバナンス基準の実施主体が経営陣であること、そして情報セキュリティガバナンスのプロセスとして「評価」「指示」「モニタ」「コミュニケーション」「保証」の5つが定められている点を正確に述べています。これはISMAPの公式文書に基づく正しい記述です。
よくある誤解
管理策基準とマネジメント基準の役割を混同しやすいですが、管理策基準は具体的な対策の実施に関する基準であり、マネジメント基準はリスク対応方針の策定や管理策の選択に関わる基準です。
解法ステップ
- ISMAP管理基準の4つの構成要素を確認する。
- 各基準の役割と実施主体を整理する。
- ガバナンス基準のプロセス(評価、指示、モニタ、コミュニケーション、保証)を理解する。
- 選択肢の記述と公式の定義を照合する。
- 最も正確な記述を選ぶ。
選択肢別の誤答解説
- ア:TISMAPではなくISMAPが正しい名称であり、構成要素の名称も誤っているため不適切。
- イ:正解。ガバナンス基準の実施主体とプロセスを正確に述べている。
- ウ:管理策基準は具体的な管理策の実施に関する基準であり、リスクコミュニケーションはマネジメント基準の範囲であるため誤り。
- エ:マネジメント基準はリスク対応方針に基づき管理策を選択するが、「確立段階」という表現は不適切で、選択肢の説明は不正確。
補足コラム
ISMAP(Information System Security Management and Assessment Program)は、政府情報システムのセキュリティ評価制度であり、クラウドサービス事業者などが政府のセキュリティ基準を満たしているかを評価・認証する仕組みです。ガバナンス基準は経営層の責任と役割を明確にし、組織全体の情報セキュリティの方向性を示す重要な基準です。
FAQ
Q: ISMAPの管理策基準は何を規定していますか?
A: 管理策基準は、具体的な情報セキュリティ対策の実施に関する基準であり、技術的・物理的・人的管理策を含みます。
A: 管理策基準は、具体的な情報セキュリティ対策の実施に関する基準であり、技術的・物理的・人的管理策を含みます。
Q: ガバナンス基準の「保証」プロセスとは何ですか?
A: 保証プロセスは、情報セキュリティガバナンスが適切に機能していることを確認し、経営陣に対して説明責任を果たす活動を指します。
A: 保証プロセスは、情報セキュリティガバナンスが適切に機能していることを確認し、経営陣に対して説明責任を果たす活動を指します。
関連キーワード: ISMAP, セキュリティ評価制度, ガバナンス基準, マネジメント基準, 管理策基準, 情報セキュリティ