基本情報技術者試験 ap-2023r05h-a 午前 問39: “政府情報システムのためのセキュリティ評価制度（ISMAP）”の説明はどれか。

問題本文

“政府情報システムのためのセキュリティ評価制度（ISMAP）”の説明はどれか。

選択肢

• ア.個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して，適合を示すマークを付与し，個人情報を取り扱う政府情報システムの運用について，当該マークを付与された者への委託を認める制度
• イ.個人データを海外に移転する際に，移転先の国の政府が定めた情報システムのセキュリティ基準を評価して，日本が求めるセキュリティ水準が確保されている場合には，本人の同意なく移転できるとする制度
• ウ.政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価，登録することによって，政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度
• エ.プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして，政府情報システムにおける情報セキュリティ管理体制を評価する制度

正解

ウ. 政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価，登録することによって，政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度

解説

ISMAP(Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価し、ISMAP クラウドサービスリストに登録しておく制度である。政府機関はこの登録済みサービスから調達することで、調達手続きの効率化と一定のセキュリティ水準の確保を両立できる。したがって“ウ”が正解である。

選択肢ごとの解説

• ア.個人情報保護の体制を評価して適合マークを付与する制度はプライバシーマーク制度の趣旨に近く、ISMAP(クラウドサービスの評価・登録)とは異なる。
• イ.個人データの越境移転の可否に関する説明であり、クラウドサービスを評価・登録する ISMAP の説明ではない。
• ウ.正しい。クラウドサービスを事前に評価・登録し、政府のクラウド調達でセキュリティ水準を確保する制度であり、ISMAP の説明そのものである。
• エ.ISMS のクラウド向け管理策を追加した国際規格(ISO/IEC 27017 等)を基準とする管理体制評価の説明であり、ISMAP の制度趣旨とは異なる。