政府情報システムのためのセキュリティ評価制度に用いられる“ISMAP管理基準”が基礎としているものはどれか。
| ア | FIPS 140-3(暗号モジュールのセキュリティ要求事項) |
| イ | ISO/IEC 27018:2019(個人情報(PII)プロセッサとして作動するパブリッククラウドにおけるPII保護のための実施基準) |
| ウ | JIS Q 15001:2017(個人情報保護マネジメントシステム−要求事項) |
| エ | 日本セキュリティ審査協会“クラウド情報セキュリティ管理基準(平和28年度版)” |
答え エ
【解説】
“ISMAP管理基準”は、クラウドサービス事業者がISMAPクラウドサービスリストへの登録申請を行う上で実施すべきセキュリティ対策の一覧、及びその活用方法を示すことを目的としており、ISMAPの情報セキュリティ監査基準等に従って監査を行う場合、原則として監査人が監査の前提として用いる基準のことで、国際規格に基づいた規格(JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016)に準拠して編成された「クラウド情報セキュリティ管理基準(平成28年度版)(エ)」を基礎としつつ、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版」)、及び「SP800-53 rev.4」を参照して作成されている。
【キーワード】
・ISMAP
- ISMAP(Information system Security Management and Assessment Program、政府情報システムのためのセキュリティ評価制度)
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録し、各政府機関は原則、安全性が評価され「登録簿」に掲載されたサービスから調達をおこなうことで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。
もっと、「ISMAP」について調べてみよう。
戻る
一覧へ
次へ