ホーム > 情報処理安全確保支援士試験 > 2021年 秋期
情報処理安全確保支援士試験 2021年 秋期 午前2 問09
JIS Q 27001:2014には記載されていないが,JIS Q 27017:2016には記載されている管理策はどれか。
ア:クラウドサービス固有の情報セキュリティ管理策(正解)
イ:事業継続マネジメントシステムにおける管理策
ウ:情報セキュリティガバナンスにおける管理策
エ:制御システム固有のサイバーセキュリティ管理策
解説
JIS Q 27001:2014には記載されていないが,JIS Q 27017:2016には記載されている管理策はどれか。【午前2 解説】
要点まとめ
- 結論:クラウドサービス固有の情報セキュリティ管理策がJIS Q 27017:2016に記載されている唯一の管理策です。
- 根拠:JIS Q 27001:2014は情報セキュリティマネジメントの一般的な要求事項を定め、クラウド特有の管理策は含みません。
- 差がつくポイント:クラウドサービスに特化した管理策の理解と、各規格の適用範囲の違いを正確に把握することが重要です。
正解の理由
JIS Q 27017:2016はクラウドサービスの情報セキュリティ管理に特化した規格であり、クラウド固有のリスクに対応するための管理策を追加しています。一方、JIS Q 27001:2014は情報セキュリティマネジメントシステム(ISMS)の基本的な枠組みを示すもので、クラウド特有の管理策は含まれていません。したがって、「クラウドサービス固有の情報セキュリティ管理策」がJIS Q 27017:2016にのみ記載されている管理策となります。
よくある誤解
JIS Q 27001がすべての情報セキュリティ管理策を網羅していると誤解しがちですが、クラウド特有の管理策は別規格で補完されています。
解法ステップ
- JIS Q 27001:2014の対象範囲を確認し、一般的な情報セキュリティ管理策であることを理解する。
- JIS Q 27017:2016がクラウドサービスに特化した規格であることを把握する。
- 選択肢の内容をクラウド固有か否かで分類する。
- クラウド固有の管理策が記載されている規格を選択する。
- 正解は「クラウドサービス固有の情報セキュリティ管理策」であることを確認する。
選択肢別の誤答解説
- ア: クラウドサービス固有の情報セキュリティ管理策
→ 正解。JIS Q 27017:2016に特有の管理策であり、クラウド環境のリスクに対応している。 - イ: 事業継続マネジメントシステムにおける管理策
→ 事業継続はJIS Q 27001にも含まれており、クラウド固有ではない。 - ウ: 情報セキュリティガバナンスにおける管理策
→ ガバナンスは基本的な管理策であり、JIS Q 27001にも記載されている。 - エ: 制御システム固有のサイバーセキュリティ管理策
→ 制御システムは別規格(例:IEC 62443など)で扱われ、JIS Q 27017の対象外。
補足コラム
JIS Q 27017:2016はISO/IEC 27017の日本版で、クラウドサービスの提供者と利用者双方に向けたガイドラインを示しています。クラウド特有のリスクとして、仮想化環境の管理や共有責任モデルの明確化などが挙げられ、これらに対応する管理策が追加されています。
FAQ
Q: JIS Q 27001とJIS Q 27017の違いは何ですか?
A: JIS Q 27001は情報セキュリティマネジメントの基本規格で、JIS Q 27017はクラウドサービスに特化した追加の管理策を提供します。
A: JIS Q 27001は情報セキュリティマネジメントの基本規格で、JIS Q 27017はクラウドサービスに特化した追加の管理策を提供します。
Q: クラウドサービスのセキュリティ管理はなぜ別規格が必要ですか?
A: クラウド特有のリスクや共有責任モデルがあり、一般的なISMSだけでは対応しきれないためです。
A: クラウド特有のリスクや共有責任モデルがあり、一般的なISMSだけでは対応しきれないためです。
関連キーワード: JIS Q 27001, JIS Q 27017, クラウドセキュリティ, 情報セキュリティ管理策, ISMS, クラウドサービス