情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和5年度 科目A 公開問題 問1: 情報セキュリティ管理基準（平成28年）に関する記述のうち，適切なものはどれか。

問題本文

情報セキュリティ管理基準（平成28年）に関する記述のうち，適切なものはどれか。

選択肢

• ア.“ガバナンス基準”，“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。
• イ.JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）及びJIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）との整合性をとっている。
• ウ.情報セキュリティ対策は，“管理策基準”に挙げられた管理策の中から選択することとしている。
• エ.トップマネジメントは，“マネジメント基準”に挙げられている事項の中から，自組織に合致する事項を選択して実施することとしている。

正解

イ. JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）及びJIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）との整合性をとっている。

解説

情報セキュリティ管理基準（平成28年）は、組織が情報セキュリティマネジメントを確立・運用するための実践規範であり、国際規格に対応するJIS規格と整合性をとって策定されている点が問われている。正解のイのとおり、本基準はJIS Q 27001:2014（ISMS要求事項）およびJIS Q 27002:2014（管理策の実践規範）との整合性を確保して構成されている。

選択肢ごとの解説

• ア.情報セキュリティ管理基準は“マネジメント基準”と“管理策基準”の二つで構成されており、“ガバナンス基準”を含む三つの基準という構成ではないため誤りです。
• イ.本基準はJIS Q 27001:2014およびJIS Q 27002:2014と整合性をとって策定されており、ISMSの要求事項と管理策の規範に対応しているため正しい記述です。
• ウ.管理策基準の管理策は組織がリスクに応じて参照・選択する材料であり、対策をこの中からのみ選択すると限定するものではないため誤りです。
• エ.マネジメント基準はトップマネジメントがPDCAに基づき実施すべき事項を体系的に示すもので、合致する事項を任意に選択して実施する性格のものではないため誤りです。