【問211】個人情報保護士 練習問題|ISMS認証
情報セキュリティ 問31/120難易度A(易しい)
問題文
ISMS(情報セキュリティマネジメントシステム)認証に関する記述として、最も適切なものはどれか。
- 1.ISMS認証は国際規格ISO/IEC 27001に基づく第三者認証制度である
- 2.ISMS認証を取得すれば、個人情報保護法の安全管理措置義務が免除される
- 3.ISMS認証の対象は情報システム部門に限定される
- 4.ISMS認証は一度取得すれば更新審査は不要である
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
ISMS認証はISO/IEC 27001(日本ではJIS Q 27001)に基づく第三者認証制度です。認証機関が組織のISMSを審査し、規格への適合性を認証します。
選択肢2 → ❌誤り
ISMS認証を取得しても個人情報保護法の義務は免除されません。ISMS認証と法令遵守は別の問題です。
選択肢3 → ❌誤り
ISMS認証の適用範囲は組織が定めるものであり、情報システム部門に限定されません。組織全体を対象とすることも可能です。
選択肢4 → ❌誤り
ISMS認証は通常3年ごとの更新審査(再認証審査)と年1回のサーベイランス審査が必要です。
背景知識
ISMS認証は、組織の情報セキュリティを体系的に管理するための仕組みが国際規格に適合していることを第三者が認証する制度です。日本ではJIPDEC(日本情報経済社会推進協会)がISMS適合性評価制度を運営しています。ISO/IEC 27001は情報セキュリティの三要素(機密性・完全性・可用性)を維持するための要求事項を定めており、リスクアセスメントに基づく管理策の実施が求められます。
学習アドバイス
ISMS認証の基本事項(根拠規格、認証の有効期間、審査の種類)を正確に覚えましょう。プライバシーマークとの違いも比較して整理しておくと効果的です。
まとめ
- ISMS認証はISO/IEC 27001に基づく第三者認証
- 認証取得で法律上の義務は免除されない
- 定期的な審査(サーベイランス・更新)が必要