ホーム > 情報処理安全確保支援士試験 > 2022年春期

情報処理安全確保支援士試験 2022年春期午前2 問07

安全・安心なIT社会を実現するために創設された制度であり、IPA“中小企業の情報セキュリティ対策ガイドライン”に沿った情報セキュリティ対策に取り組むことを中小企業などが自己宣言するものはどれか。

ア：ISMS適合性評価制度

イ：ITセキュリティ評価及び認証制度

ウ：MyJVN

エ：SECURITY ACTION（正解）

解説

安全・安心なIT社会を実現するために創設された制度であり、IPA“中小企業の情報セキュリティ対策ガイドライン”に沿った情報セキュリティ対策に取り組むことを中小企業などが自己宣言するものはどれか【午前2 解説】

要点まとめ

結論：中小企業がIPAのガイドラインに沿った情報セキュリティ対策を自己宣言する制度はSECURITY ACTIONです。
根拠：SECURITY ACTIONは中小企業の情報セキュリティ対策促進を目的に、自己宣言制度として設立されました。
差がつくポイント：ISMSなどの認証制度と異なり、SECURITY ACTIONは手軽に自己宣言できる点が特徴です。

正解の理由

SECURITY ACTIONは、IPAが中小企業の情報セキュリティ対策を促進するために創設した自己宣言制度です。中小企業が「一つ星」「二つ星」のマークを取得し、IPAの“中小企業の情報セキュリティ対策ガイドライン”に沿った対策を実施していることを公表できます。これにより、取引先や顧客に対して安全・安心なIT社会の実現に貢献していることを示せます。

よくある誤解

ISMS適合性評価制度は認証取得が必要で手続きが複雑ですが、SECURITY ACTIONは自己宣言で簡単に始められるため混同しやすいです。

解法ステップ

問題文の「中小企業」「自己宣言」「IPAのガイドライン」をキーワードとして抽出する。
選択肢の制度の目的と対象を確認し、中小企業向けかつ自己宣言制度かを判断する。
ISMSやITセキュリティ評価は認証制度であり自己宣言ではないことを理解する。
MyJVNは脆弱性情報提供サイトであり制度ではないことを除外する。
以上からSECURITY ACTIONが該当することを導く。

選択肢別の誤答解説

ア: ISMS適合性評価制度
情報セキュリティマネジメントシステムの認証制度であり、自己宣言ではなく第三者認証が必要です。
イ: ITセキュリティ評価及び認証制度
製品やシステムのセキュリティ評価を行う制度で、中小企業の自己宣言制度ではありません。
ウ: MyJVN
脆弱性情報を提供するサイトであり、情報セキュリティ対策の自己宣言制度ではありません。
エ: SECURITY ACTION
中小企業がIPAのガイドラインに沿った対策を自己宣言できる制度で正解です。

補足コラム

SECURITY ACTIONは「一つ星」と「二つ星」の2段階があり、一つ星は基本的なセキュリティ対策の実施、二つ星はより高度な対策を自己宣言します。これにより中小企業のセキュリティ意識向上と取引先からの信頼獲得を支援しています。

FAQ

Q: SECURITY ACTIONは認証制度ですか？
A: いいえ、SECURITY ACTIONは自己宣言制度であり、第三者認証は不要です。

Q: ISMS適合性評価制度とSECURITY ACTIONの違いは何ですか？
A: ISMSは第三者認証が必要な管理システム認証制度、SECURITY ACTIONは中小企業が自己宣言で参加できる制度です。

関連キーワード: SECURITY ACTION, 中小企業, 情報セキュリティ対策, IPAガイドライン, 自己宣言制度, ISMS, ITセキュリティ評価

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2022年 春期 午前2 問07

解説