情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ 問9: JIS Q 27002:2014 には記載されていないが，JIS Q 27017:2016 には記載されている管理策はどれか。

問題本文

JIS Q 27002:2014 には記載されていないが，JIS Q 27017:2016 には記載されている管理策はどれか。

選択肢

• ア.クラウドサービス固有の情報セキュリティ管理策
• イ.事業継続マネジメントシステムにおける管理策
• ウ.情報セキュリティガバナンスにおける管理策
• エ.制御システム固有のサイバーセキュリティ管理策

正解

ア. クラウドサービス固有の情報セキュリティ管理策

解説

JIS Q 27017:2016は、ISO/IEC 27002をベースにクラウドサービス固有の情報セキュリティ管理策を追加したガイドラインである。27002には無く27017で追記された管理策はクラウド固有のものなので、アが正しい。クラウド利用者と事業者の責任分界点を明確にする際の指針として実務で参照される。

選択肢ごとの解説

• ア.クラウドサービス固有の管理策を扱うのが27017の目的そのもので、27002との差分に合致し正解。
• イ.事業継続マネジメントはJIS Q 22301等の領域で、27017の追加管理策ではないため誤り。
• ウ.情報セキュリティガバナンスは別の規格(JIS Q 27014等)の話で、本問の差分ではないため誤り。
• エ.制御システム固有のセキュリティはIEC 62443等の領域で、クラウド向けの27017とは異なり誤り。