“政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準”に関する記述のうち、適切なものはどれか。
ア | ISMAP管理基準は、ガバナンス基準、マネジメント基準、管理策基準、監査基準の四つから構成されている。 |
イ | ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められている。 |
ウ | 管理策基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めている。 |
エ | マネジメント基準は、組織における情報セキュリティマネジメントの確率段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えている。 |
答え イ
【解説】
ア | ISMAP管理基準は、ガバナンス基準、マネジメント基準、管理策基準の三つで、監査基準はありません。(×) |
イ | ガバナンス基準の実施主体は経営陣であり、情報セキュリティガバナンスのプロセスとして、評価、指示、モニタ、コミュニケーション及び保証の各プロセスが定められています。(〇) |
ウ | 管理策基準は、組織における情報セキュリティマネジメントの確率段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものです。(×) |
エ | マネジメント基準は、管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置及びリスクコミュニケーションに必要な事項を定めたものです。(×) |
【キーワード】
・ISMAP