問題本文
ISMS適合性評価制度に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。 企業などの組織において,[a]マネジメントシステムが適切に構築,運用され,ISMS認証基準の要求事項に適合していることを[b]が審査して認証する制度である。
選択肢
- ア.a=個人情報保護, b=組織内の監査を行う部署
- イ.a=個人情報保護, b=特定の第三者機関
- ウ.a=情報セキュリティ, b=組織内の監査を行う部署
- エ.a=情報セキュリティ, b=特定の第三者機関
正解
エ. a=情報セキュリティ, b=特定の第三者機関
解説
ISMS(Information Security Management System,情報セキュリティマネジメントシステム)適合性評価制度は,企業などの組織における情報セキュリティマネジメントシステムが,ISMS認証基準(ISO/IEC 27001など)の要求事項に適合して構築・運用されていることを,認定された第三者機関(認証機関)が審査し認証する制度である. したがってaは「情報セキュリティ」,bは「特定の第三者機関」が適切となる. 個人情報保護に特化したマネジメントシステムを審査する制度はプライバシーマーク(PMS)であり,別の制度である点と,組織内監査ではなく第三者認証である点が混同しやすい注意点となる.
選択肢ごとの解説
- ア.誤り. ア「a=個人情報保護,b=組織内の監査を行う部署」とすると,aは個人情報保護マネジメントシステムの認証であるプライバシーマーク制度の説明に近く,bも組織内部で完結する仕組みとなる. ISMS認証は情報セキュリティマネジメントを対象とし第三者機関が審査するため,本選択肢は適切ではない.
- イ.誤り. イ「a=個人情報保護,b=特定の第三者機関」とすると,aは個人情報保護マネジメントシステムを対象とする説明となり,情報セキュリティ全般を扱うISMSの説明とは合致しない. bの第三者機関による審査という点は正しいが,対象がISMSではなく個人情報保護となり本問の制度の説明としては適切ではない.
- ウ.誤り. ウ「a=情報セキュリティ,b=組織内の監査を行う部署」とすると,対象は正しく情報セキュリティだが,審査主体が組織内の監査部署となり第三者性が確保されない. ISMS認証は独立した認証機関が審査する制度であるため,組織内監査部署とするこの組合せは本問の制度の説明としては適切ではない.
- エ.正しい. エ「a=情報セキュリティ,b=特定の第三者機関」が,ISMS(情報セキュリティマネジメントシステム)を対象として,認定された第三者機関(認証機関)が審査・認証するというISMS適合性評価制度の正確な説明と一致する. 対象と審査主体の両面で本選択肢が正解として最も適切となる.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問91