令和5年試験問題 [科目A]問1

"情報セキュリティ管理基準(平成28年)"に関する記述のうち,最も適切なものはどれか。

  • "ガバナンス基準","管理策基準"及び"マネジメント基準"の三つの基準で構成されている。
  • JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。
  • 情報セキュリティ対策は,"管理策基準"に挙げられた管理策の中から選択することとしている。
  • トップマネジメントは,"マネジメント基準"に挙げられている事項の中から,自組織に合致する事項を選択して実施することとしている。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
  • "ガバナンス基準"は存在しません。情報セキュリティ管理基準(平成28年)は、"マネジメント基準"と"管理策基準"から構成されます。"マネジメント基準"では、JIS Q 27001を基に情報セキュリティマネジメントのPDCAに必要な実施事項の大枠を定め、"管理策基準"では、JIS Q 27001附属書AおよびJIS Q 27002をもとに個々の管理策を例示しています。
  • 正しい。JIS Q 27001とJIS Q 27002をもとに策定された基準であり、JIS規格との整合性が取られています。
  • "管理策基準"では、リスク対応方針に従ってリスク管理策の選択する際の選択肢を与えるものとされています。例示なので、必ずしも挙げられた管理策の中から選択する必要はありません。
  • "マネジメント基準"の事項は、JIS Q 27001の箇条4~10に対応しており、原則として、全て実施すべき事項とされています。各事項を除外することはできません。

Pagetop