“政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準”に関する記述のうち、適切なものはどれか。
ア
ISMAP管理基準は、ガバナンス基準、マネジメント基準、管理策基準、監査基準の四つから構成されている。
イ
ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められている。
ウ
管理策基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めている。
エ
マネジメント基準は、組織における情報セキュリティマネジメントの確率段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えている。
答え イ
【解説 】
ア
ISMAP管理基準は、ガバナンス基準、マネジメント基準、管理策基準の三つで、監査基準はありません。(×)
イ
ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められています。(〇)
ウ
管理策基準は、組織における情報セキュリティマネジメントの確率段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものです。(×)
エ
マネジメント基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めたものです。(×)
【キーワード 】
・ISMAP
【キーワードの解説 】
ISMAP(Information system Security Management and Assessment Program、政府情報システムのためのセキュリティ評価制度)
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録し、各政府機関は原則、安全性が評価され「登録簿」に掲載されたサービスから調達をおこなうことで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。
もっと、「ISMAP」について調べてみよう。
戻る
一覧へ
次へ