セキュリティ
ISMSの認証規格であるISO/IEC 27001に関する説明として、最も適切なものはどれか。
ア.情報セキュリティの技術的な実装手順を詳細に規定した規格であり、暗号アルゴリズムの選定基準も含む
イ.個人情報保護に特化した規格であり、GDPRに準拠するための認証制度として欧州で制定された
ウ.ソフトウェア開発プロセスの成熟度を評価するための規格であり、レベル1〜5の段階で組織能力を測定する
エ.組織が情報セキュリティマネジメントシステム(ISMS)を確立・実施・維持・継続的に改善するための要求事項を規定した規格正解
解説
ISO 27001は「情報セキュリティのマネジメントシステムの設計図」。何をどう守るかの技術仕様ではなく、「ちゃんと管理する仕組みを作って回し続けなさい」という経営レベルの要求事項集です。
なぜ エ が正解か
ISO/IEC 27001はISMS(情報セキュリティマネジメントシステム)の国際規格です。PDCAサイクルに基づき、情報セキュリティのリスクアセスメントからコントロール選定・運用・見直しまでの管理体制を構築・維持・改善するための要求事項を定めています。技術的な実装方法は附属書Aに管理策として列挙されていますが、詳細手順は組織が決めます。
出典: AI生成問題(学習用)