情報セキュリティ管理基準(平成28年)に関する記述のうち、適切なものはどれか。
ア | “ガバナンス基準”、“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。 |
イ | JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。 |
ウ | 情報セキュリティ対策は、“管理策基準”に挙げられた管理策の中から選択することとしている。 |
エ | トップマネジメントは、“マネジメント基準”に挙げられている事項の中から、自組織に合致する事項を選択して実施することとしている。 |
答え イ
【解説】
ア | “ガバナンス基準”、“管理策基準”及び“マネジメント基準”の三つの基準で構成されているのは、政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準です。(×) |
イ | JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっているのは、情報セキュリティ管理基準です。(〇) |
ウ | 情報セキュリティ対策は、“管理策基準”に挙げられた管理策の中から選択することができますが、この中菜から選ばないといけないものではありません。(×) |
エ | トップマネジメントは、“マネジメント基準”に挙げられている事項を原則としてすべて実施しなければならない。(×) |
【キーワード】
・情報セキュリティ管理基準