ホーム > 情報処理安全確保支援士試験 > 2025年 春期
情報処理安全確保支援士試験 2025年 春期 午前2 問11
“政府情報システムのためのセキュリティ評価制度 (ISMAP)” の説明はどれか。
ア:個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して、適合を示すマークを付与し、個人情報を取り扱う政府情報システムの運用について、当該マークを付与された者への委託を認める制度
イ:個人データを海外に移転する際に、移転先の国の政府が定めた情報システムのセキュリティ基準を評価して、日本が求めるセキュリティ水準が確保されている場合には、本人の同意なく移転できるとする制度
ウ:政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度(正解)
エ:プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして、政府情報システムにおける情報セキュリティ管理体制を評価する制度
解説
政府情報システムのためのセキュリティ評価制度 (ISMAP)【午前2 解説】
要点まとめ
- 結論:ISMAPは政府が求めるセキュリティ要求を満たすクラウドサービスを評価・登録し、調達時のセキュリティ水準を確保する制度です。
- 根拠:政府情報システムの安全な運用にはクラウドサービスのセキュリティ評価が不可欠であり、ISMAPはその基準と評価を体系化しています。
- 差がつくポイント:ISMAPはクラウドサービスに特化した評価制度であり、個人情報保護や海外移転の制度とは異なる点を押さえることが重要です。
正解の理由
選択肢ウは、ISMAPの本質を正確に表しています。ISMAPは政府が利用するクラウドサービスのセキュリティ要求を事前に評価・登録し、政府調達時に安全なサービスを選定できるようにする制度です。これにより、政府情報システムのセキュリティ水準を統一的に確保できます。
よくある誤解
ISMAPは個人情報保護や海外データ移転の制度ではなく、あくまで政府のクラウドサービス調達に関するセキュリティ評価制度です。混同しやすいので注意しましょう。
解法ステップ
- 問題文の「政府情報システムのためのセキュリティ評価制度」というキーワードに注目する。
- 選択肢の内容が「クラウドサービスのセキュリティ評価」に関するものか確認する。
- 個人情報保護や海外移転に関する内容はISMAPの説明として不適切と判断する。
- 政府のクラウドサービス調達におけるセキュリティ水準確保を示す選択肢を選ぶ。
選択肢別の誤答解説
- ア:個人情報保護に関する評価制度の説明であり、ISMAPの対象外です。
- イ:海外への個人データ移転に関する制度で、ISMAPとは無関係です。
- ウ:政府のクラウドサービス調達におけるセキュリティ評価制度として正しい説明です。
- エ:プライベートクラウドの管理策に関する国際規格の説明であり、ISMAPの内容とは異なります。
補足コラム
ISMAPは「Information System Security Management and Assessment Program」の略で、政府クラウドサービスの安全性を保証するための評価制度です。クラウドサービス事業者はISMAPの評価を受けることで、政府調達市場での信頼性を高められます。これにより、政府は安全なクラウド環境を効率的に利用可能となります。
FAQ
Q: ISMAPはどのようなクラウドサービスが対象ですか?
A: 政府が利用するパブリッククラウドサービスが主な対象で、セキュリティ要求を満たすサービスが評価・登録されます。
A: 政府が利用するパブリッククラウドサービスが主な対象で、セキュリティ要求を満たすサービスが評価・登録されます。
Q: ISMAPと個人情報保護制度はどう違いますか?
A: ISMAPはクラウドサービスのセキュリティ評価制度であり、個人情報保護制度は個人情報の適切な取扱いを目的とした別の制度です。
A: ISMAPはクラウドサービスのセキュリティ評価制度であり、個人情報保護制度は個人情報の適切な取扱いを目的とした別の制度です。
関連キーワード: ISMAP, クラウドサービス評価, 政府情報システム, セキュリティ評価制度, クラウドセキュリティ, 政府調達