ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問07
ISMAP-LIUクラウドサービス登録規則(令和6年3月1日最終改定)でのISMAP-LIUに関する記述として、適切なものはどれか。
ア:JIS Q 27001 に加え, JIS Q 27017 に規定されたクラウドサービス固有の管理策が適切に導入、 実施されていることも認証する。
イ:アウトソーシング事業者が記述したセキュリティの内部統制に対しても、監査法人が評価手続を実施した結果とその意見を表明する。
ウ:リスクの小さな業務・情報の処理に用いる SaaS サービスを対象とする。(正解)
エ:我が国の政府機関などにおける情報セキュリティのベースライン, 及びより高い水準の情報セキュリティを確保するための対策事項を規定している。
解説
ISMAP-LIUクラウドサービス登録規則に関する問題【午前2 解説】
要点まとめ
- 結論:ISMAP-LIUはリスクの小さい業務・情報処理に用いるSaaSサービスを対象としています。
- 根拠:ISMAP-LIUは軽量版のクラウドサービス登録規則であり、リスクの低いサービス向けに設計されています。
- 差がつくポイント:ISMAP-LIUとISMAPの違いや、認証対象のリスクレベルを正確に理解することが重要です。
正解の理由
選択肢ウは「リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする」とあり、ISMAP-LIUの特徴を正確に表しています。ISMAP-LIUはISMAPの簡易版であり、主にリスクの低いクラウドサービスを対象にしているため、この記述が適切です。
よくある誤解
ISMAP-LIUはISMAPの一部ではなく、リスクレベルに応じて対象サービスが異なるため、すべてのクラウドサービスに適用されるわけではありません。
解法ステップ
- ISMAPとISMAP-LIUの違いを確認する。
- ISMAP-LIUの対象範囲がリスクの小さいサービスであることを理解する。
- 各選択肢の内容がISMAP-LIUの規則に合致しているかを検証する。
- リスクレベルや認証範囲に関する記述を重点的にチェックする。
- 最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア:JIS Q 27001に加えJIS Q 27017の管理策も認証するのはISMAPの特徴であり、ISMAP-LIUでは必須ではありません。
- イ:監査法人がアウトソーシング事業者の内部統制に対して評価手続を実施するのはISMAPの監査範囲外です。
- ウ:リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする点がISMAP-LIUの本質を示しています。
- エ:政府機関の情報セキュリティベースラインを規定するのはISMAPの役割であり、ISMAP-LIUの規定ではありません。
補足コラム
ISMAP(Information System Management and Assessment Program)は日本政府が推進するクラウドサービスのセキュリティ認証制度です。ISMAP-LIUはその簡易版で、リスクの低いサービスに対して迅速かつ簡便に認証を行うことを目的としています。これにより、中小規模のクラウドサービス事業者も認証を取得しやすくなっています。
FAQ
Q: ISMAPとISMAP-LIUの違いは何ですか?
A: ISMAPは高リスクのクラウドサービスを対象に詳細な認証を行い、ISMAP-LIUはリスクの低いサービス向けの簡易認証制度です。
A: ISMAPは高リスクのクラウドサービスを対象に詳細な認証を行い、ISMAP-LIUはリスクの低いサービス向けの簡易認証制度です。
Q: ISMAP-LIUはどのようなクラウドサービスに適用されますか?
A: 主にリスクの小さい業務や情報処理に用いるSaaSサービスが対象です。
A: 主にリスクの小さい業務や情報処理に用いるSaaSサービスが対象です。
関連キーワード: ISMAP, ISMAP-LIU, クラウドサービス認証, JIS Q 27001, JIS Q 27017, SaaS, セキュリティ認証