情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問7: ISMAP-LIU クラウドサービス登録規則(令和 6 年 3 月 1 日最終改定)での ISMAP-LIU に関する記述として,適切なものはどれか。
←情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ
ISMAP-LIU クラウドサービス登録規則(令和 6 年 3 月 1 日最終改定)での ISMAP-LIU に関する記述として,適切なものはどれか。
問題本文
ISMAP-LIU クラウドサービス登録規則(令和 6 年 3 月 1 日最終改定)での ISMAP-LIU に関する記述として,適切なものはどれか。
選択肢
- ア.JIS Q 27001 に加え,JIS Q 27017 に規定されたクラウドサービス固有の管理策が適切に導入,実施されていることも認証する。
- イ.アウトソーシング事業者が記述したセキュリティの内部統制に対しても,監査法人が評価手続を実施した結果とその意見を表明する。
- ウ.リスクの小さな業務・情報の処理に用いる SaaS サービスを対象とする。
- エ.我が国の政府機関などにおける情報セキュリティのベースライン,及びより高い水準の情報セキュリティを確保するための対策事項を規定している。
正解
ウ. リスクの小さな業務・情報の処理に用いる SaaS サービスを対象とする。
解説
ISMAPは政府情報システムが調達するクラウドサービスの安全性を評価・登録する制度。そのうちISMAP-LIU(Low-Impact Use)は、取り扱う情報や業務のリスクが小さいSaaSを対象に、簡素化した手続で登録できる枠組み。ウが正しい。実務では機微度の低い業務に使うクラウドを効率よく選定・調達でき、リスクに応じた評価コストの最適化に役立つ。
選択肢ごとの解説
- ア.JIS Q 27017の管理策を認証するのはISMSクラウドセキュリティ認証等の説明で誤り。
- イ.監査法人が内部統制を評価し意見表明するのはSOC報告書等の説明でISMAP-LIUではない。
- ウ.リスクの小さい業務・情報を扱うSaaSを対象とする枠組みという記述で正しい。
- エ.政府機関の情報セキュリティの統一基準群を説明したもので、ISMAP-LIUの説明ではない。
情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ の過去問一覧へ戻る・問7