ホーム > ITストラテジスト試験 > 2024年
ITストラテジスト試験 2024年 午前2 問25
“政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準(令和5年9月22日最終改定)”に関する記述のうち、適切なものはどれか。
エ:マネジメント基準は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えている
イ:ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められている。(正解)
ア:ISMAP管理基準は、ガバナンス基準、マネジメント基準、管理策基準、監査基準の四つから構成されている。
ウ:管理策基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めている。
解説
政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準(令和5年9月22日最終改定)に関する問題【午前2 解説】
要点まとめ
- 結論:ISMAP管理基準のガバナンス基準は経営陣が実施主体で、評価や指示などのプロセスが明確に定められている。
- 根拠:令和5年9月22日最終改定の管理基準では、ガバナンス基準が経営層の責任範囲として位置づけられ、具体的なプロセスが規定されている。
- 差がつくポイント:ガバナンス基準とマネジメント基準、管理策基準の役割や実施主体の違いを正確に理解することが重要である。
正解の理由
イは、ガバナンス基準の実施主体が経営陣であること、また情報セキュリティガバナンスのプロセスとして「評価」「指示」「モニタ」「コミュニケーション」「保証」が定められている点を正確に述べています。これはISMAP管理基準の最新改定内容に沿った記述であり、制度の根幹を理解していることを示します。
よくある誤解
管理策基準やマネジメント基準の内容をガバナンス基準と混同しやすい点に注意が必要です。特に実施主体やプロセスの違いを曖昧に覚えてしまうことが多いです。
解法ステップ
- ISMAP管理基準の構成要素を確認する(ガバナンス基準、マネジメント基準、管理策基準など)。
- 各基準の実施主体と役割を整理する。
- ガバナンス基準のプロセス(評価、指示、モニタ、コミュニケーション、保証)を把握する。
- 選択肢の記述と照らし合わせて正誤を判断する。
選択肢別の誤答解説
- ア:ISMAP管理基準は「ガバナンス基準」「マネジメント基準」「管理策基準」の三つで構成されており、「監査基準」は含まれません。
- イ:正解。ガバナンス基準の実施主体が経営陣であり、プロセスも正確に記述されています。
- ウ:管理策基準は具体的な管理策の実施に関する基準であり、「リスクコミュニケーション」はマネジメント基準の範囲です。
- エ:マネジメント基準はリスク対応方針に基づく管理策の選択や実施を規定しますが、「確立段階における選択肢を与える」という表現は不正確です。
補足コラム
ISMAP(Information System Security Management and Assessment Program)は、政府情報システムのセキュリティ評価制度であり、クラウドサービスの安全利用を促進するために設けられています。管理基準は制度の運用を支える重要な枠組みであり、経営層の関与が強調されている点が特徴です。
FAQ
Q: ISMAP管理基準のガバナンス基準は誰が実施主体ですか?
A: 経営陣が実施主体であり、情報セキュリティガバナンスのプロセスを推進します。
A: 経営陣が実施主体であり、情報セキュリティガバナンスのプロセスを推進します。
Q: 管理策基準とマネジメント基準の違いは何ですか?
A: 管理策基準は具体的なセキュリティ対策の実施に関する基準で、マネジメント基準はリスク管理や計画策定などの管理活動全般を規定します。
A: 管理策基準は具体的なセキュリティ対策の実施に関する基準で、マネジメント基準はリスク管理や計画策定などの管理活動全般を規定します。
関連キーワード: ISMAP, セキュリティ評価制度, ガバナンス基準, マネジメント基準, 管理策基準, 政府情報システム, 情報セキュリティガバナンス