情報セキュリティ管理基準(平成28年)に関する記述のうち、適切なものはどれか。
| ア | “ガバナンス基準”、“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。 |
| イ | JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。 |
| ウ | 情報セキュリティ対策は、“管理策基準”に挙げられた管理策の中から選択することとしている。 |
| エ | トップマネジメントは、“マネジメント基準”に挙げられている事項の中から、自組織に合致する事項を選択して実施することとしている。 |
答え イ
【解説】
| ア | “ガバナンス基準”、“管理策基準”及び“マネジメント基準”の三つの基準で構成されているのは、政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準です。(×) |
| イ | JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっているのは、情報セキュリティ管理基準です。(〇) |
| ウ | 情報セキュリティ対策は、“管理策基準”に挙げられた管理策の中から選択することができますが、この中菜から選ばないといけないものではありません。(×) |
| エ | トップマネジメントは、“マネジメント基準”に挙げられている事項を原則としてすべて実施しなければならない。(×) |
【キーワード】
・情報セキュリティ管理基準
- 情報セキュリティ管理基準
組織の保有する「情報資産」のリスクマネジメントが有効に行われているかどうかという点を評価するための「情報セキュリティ監査」にあたっての判断の尺度となるものです。
JISX 5080:2002(情報技術 - 情報セキュリティマネジメントの実践のための規範)をベースに策定されていて、132のコントロールとそれを詳細化した952のサブコントロールから構成されています。
もっと、「情報セキュリティ管理基準」について調べてみよう。
戻る
一覧へ
次へ