【問202】個人情報保護士 練習問題|組織的セキュリティ(ISMS)
情報セキュリティ 問22/120難易度A(易しい)
問題文
ISMS(情報セキュリティマネジメントシステム)に関する次の記述のうち、最も適切なものはどれか。
- 1.ISMSはISO/IEC 27001に基づく情報セキュリティの管理体制であり、PDCAサイクルによる継続的改善を求めている
- 2.ISMSの認証を取得すれば、情報セキュリティインシデントは完全に防止できる
- 3.ISMSは情報技術(IT)部門のみが対象であり、総務や営業部門は適用範囲外である
- 4.ISMSの認証は一度取得すれば永久に有効であり、更新審査は不要である
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
ISMSはISO/IEC 27001(JIS Q 27001)に基づく情報セキュリティの管理体制です。Plan(計画)→Do(実行)→Check(評価)→Act(改善)のPDCAサイクルにより、情報セキュリティの継続的な改善を図ります。
選択肢2 → ❌誤り
ISMSは情報セキュリティリスクを管理する仕組みであり、インシデントを完全に防止するものではありません。リスクを許容可能なレベルまで低減することが目的です。
選択肢3 → ❌誤り
ISMSの適用範囲は組織が定めるものであり、IT部門に限定されません。情報を取り扱うすべての部門が対象となり得ます。
選択肢4 → ❌誤り
ISMS認証は通常3年ごとに更新審査が必要であり、その間にもサーベイランス審査(維持審査)が毎年実施されます。
背景知識
ISMSは組織が情報セキュリティを体系的に管理するための枠組みです。ISO/IEC 27001は情報セキュリティマネジメントシステムの要求事項を定めた国際規格であり、2022年に改訂版が発行されています。ISMSの構築では、情報資産の特定、リスクアセスメント、リスク対応計画の策定、管理策の実施、内部監査、マネジメントレビューなどのプロセスを実施します。認証取得は対外的な信頼性の証明にもなります。
学習アドバイス
ISMSの基本概念(PDCAサイクル、リスクベースアプローチ)とISO/IEC 27001の関係を理解しましょう。認証の有効期間と審査の種類も押さえておきましょう。
まとめ
- ISMSはISO/IEC 27001に基づく情報セキュリティの管理体制
- PDCAサイクルによる継続的改善が核心
- 認証は3年ごとの更新審査と毎年の維持審査が必要