令和4年度ITストラテジスト試験の過去問解説連載です。
この記事では午前2 第24問を解説します。
問24:セキュリティ評価基準に関する問題
”政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準”に関する記述のうち、適切なものはどれか。
ア ISMAP管理基準は、ガバナンス基準、マネジメント基準、管理策基準、監査基準の四つから構成されている。
イ ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められている。
ウ 管理策基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めている。
エ マネジメント基準は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えている 。
イ ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められている。
ウ 管理策基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めている。
エ マネジメント基準は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えている 。
解説:ISMAP管理基準
政府情報システムのためのセキュリティ評価制度とは、実施すべきセキュリティ対策と活用方法を示し、それを満たしたクラウドサービス事業者を評価・登録しておき、登録されたサービスを利用することで調達/導入を円滑にするための制度です。
ア
ISMAPに関する規約等のうち、「ISMAP管理基準」に含まれるものは次の3点です。
- ガバナンス基準
- マネジメント基準
- 管理策基準
監査基準は含まれないので誤りです。
イ
ISMAP管理基準には次のような一文がありますので、説明文は適切です。
(第3章ガバナンス 第3.1節 情報セキュリティガバナンスのプロセス 3.1.1 概要)
経営陣は、情報セキュリティを統治するために、評価、指示、モニタ及びコミュニケーションの各プロセスを実施する。さらに、保証プロセスによって、情報セキュリティガバナンス及び達成したレベルについての独立した客観的な意見が得られる。
また第2章 2.1 管理基準の構成には次のような一文があり、ガバナンス基準は経営陣が実施するものであることが明らかです。
「ガバナンス基準」は、経営陣が実施すべき事項として、JIS Q27014(ISO/IEX27014)の内容を精査し、監査の実施可能性の観点から「プロセス」の4桁部分(X.X.X.X)を再構成し、ガバナンス基準とした。
ウ
ISMAP管理基準には次のような一文がありますので、説明文は誤りです。
(第2章 2.1 管理基準の構成)
「管理策基準」は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものである。
この選択肢の説明文は、管理者が実施することを前提としていることから「マネジメント基準」です。
エ
ISMAP管理基準には次のような一文がありますので、説明文は誤りです。
(第2章 2.1 管理基準の構成)
「マネジメント基準」は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに必要な実施事項を定める。
この選択肢の説明文は、組織におけるセキュリティマネジメントの確立段階の話なので「管理策基準」です。
関連記事
令和4年度 ITストラテジスト午前2 全問リンク
問1 問2 問3 問4 問5 問6 問7 問8 問9 問10
問11 問12 問13 問14 問15 問16 問17 問18 問19 問20
問21 問22 問23 問24 問25
コメント