【問220】個人情報保護士 練習問題|ISMS適合性評価制度
情報セキュリティ 問40/120難易度C(難しい)
問題文
日本におけるISMS適合性評価制度に関する記述として、最も適切なものはどれか。
- 1.ISMS認証の審査を行う認証機関は、認定機関(ISMS-AC)の認定を受ける必要がある
- 2.ISMS認証の審査基準はISO/IEC 27002のみである
- 3.ISMS認証は日本国内でのみ通用する認証制度である
- 4.ISMS認証の取得は法令で義務づけられている
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
ISMS認証の審査を行う認証機関は、ISMS-AC(情報マネジメントシステム認定センター)の認定を受ける必要があります。これにより審査の信頼性が確保されます。
選択肢2 → ❌誤り
ISMS認証の審査基準はISO/IEC 27001(JIS Q 27001)です。ISO/IEC 27002は管理策の実施の手引きであり、認証の審査基準ではありません。
選択肢3 → ❌誤り
ISMS認証は国際規格ISO/IEC 27001に基づくため、国際的に通用する認証です。
選択肢4 → ❌誤り
ISMS認証の取得は任意であり、法令で義務づけられてはいません。
背景知識
日本のISMS適合性評価制度は、認定機関(ISMS-AC)、認証機関、被認証組織の三層構造となっています。ISMS-ACは認証機関を認定し、認定を受けた認証機関がISMS認証の審査を行います。この仕組みにより、審査の品質と信頼性が確保されています。ISO/IEC 27001は要求事項を定めた規格であり認証基準となります。一方、ISO/IEC 27002は管理策の実施に関するガイドラインであり、認証基準ではありません。この二つの規格の違いを理解することが重要です。
学習アドバイス
ISMS適合性評価制度の構造(認定機関→認証機関→被認証組織)と、ISO/IEC 27001と27002の役割の違いを押さえましょう。制度の全体像を理解することが重要です。
まとめ
- 認証機関はISMS-ACの認定を受ける必要がある
- 認証基準はISO/IEC 27001(27002はガイドライン)
- ISMS認証は国際的に通用し、取得は任意