メインコンテンツへ
セキュリティ情報セキュリティ管理

ISMSの認証規格であるISO/IEC 27001に関する説明として、最も適切なものはどれか。

ア.情報セキュリティの技術的な実装手順を詳細に規定した規格であり、暗号アルゴリズムの選定基準も含む
イ.個人情報保護に特化した規格であり、GDPRに準拠するための認証制度として欧州で制定された
ウ.ソフトウェア開発プロセスの成熟度を評価するための規格であり、レベル1〜5の段階で組織能力を測定する
エ.組織が情報セキュリティマネジメントシステム(ISMS)を確立・実施・維持・継続的に改善するための要求事項を規定した規格正解

解説

ISO 27001は「情報セキュリティのマネジメントシステムの設計図」。何をどう守るかの技術仕様ではなく、「ちゃんと管理する仕組みを作って回し続けなさい」という経営レベルの要求事項集です。

なぜ エ が正解か

ISO/IEC 27001はISMS(情報セキュリティマネジメントシステム)の国際規格です。PDCAサイクルに基づき、情報セキュリティのリスクアセスメントからコントロール選定・運用・見直しまでの管理体制を構築・維持・改善するための要求事項を定めています。技術的な実装方法は附属書Aに管理策として列挙されていますが、詳細手順は組織が決めます。

なぜ ア は間違いか

暗号アルゴリズムの選定基準はNIST文書やCRYPTRECが担当する領域です。ISO 27001は「何をすべきか(What)」の要求事項規格であり、「どうやるか(How)」の技術手順書ではありません。

なぜ イ は間違いか

GDPRは欧州の個人情報保護法令であり、ISO 27001とは別物です。ISO 27001は個人情報に限らず、組織が保有するあらゆる情報資産を対象とします。

なぜ ウ は間違いか

ソフトウェア開発プロセスの成熟度を1〜5段階で評価するのはCMMI(Capability Maturity Model Integration)の説明です。ISO 27001とは目的も対象も異なります。

出典: AI生成問題(学習用)