法務
ISO/IEC 27001(情報セキュリティマネジメントシステム:ISMS)に関する説明として、最も適切なものはどれか。
ア.ISO/IEC 27001はIT企業専用の規格であり、情報を扱わない製造業や農業は認証取得の対象外となる。
イ.ISO/IEC 27001認証を取得した企業は、あらゆるサイバー攻撃から完全に保護されることが保証される。
ウ.ISO/IEC 27001は情報セキュリティに関するリスクを組織的に管理するISMSの国際規格で、機密性・完全性・可用性を保護する仕組みを認証する。正解
エ.ISO/IEC 27001では技術的セキュリティ対策のみを要求し、従業員教育・物理的セキュリティなど人的・物理的対策は対象外である。
解説
ISMS(ISO 27001)は「情報を守る仕組みを持っています」という証明。鍵はリスクマネジメント——すべての脅威を防ぐ魔法ではなく、リスクを特定して優先度をつけて対処する「仕組み」の認証。
なぜ ウ が正解か
ウが正解。ISO/IEC 27001のISMS(Information Security Management System):情報セキュリティの3要素(CIA)= 機密性(Confidentiality:権限者のみアクセス)・完全性(Integrity:改ざん防止)・可用性(Availability:必要なとき使える)を体系的に守るPDCAサイクル。Annex A(附属書A)に114→93の管理策(2022版)。リスクアセスメントに基づき組織が適切な管理策を選択・実施する。
出典: AI生成問題(学習用)