メインコンテンツへ
サービスマネジメント

ISMS(情報セキュリティマネジメントシステム)とITSM(ITサービスマネジメント)の関係に関する説明として、最も適切なものはどれか。

ア.ISMSとITSMはまったく同一の概念であり、ISO/IEC 27001とITILは同じ規格・フレームワークの別名に過ぎない。
イ.ISMSは情報資産の機密性・完全性・可用性を維持することを目的とした管理体制(ISO/IEC 27001が規格)で、ITSMはITサービスを効率的・効果的に提供するための管理フレームワーク(ITILが代表)。両者は重複する部分を持ちながら独立した異なる体系である。正解
ウ.ITSMはISMSの下位概念であり、ISMS認証を取得しなければITSMを実施できないという依存関係がある。
エ.ISMSはソフトウェア開発にのみ適用される品質管理規格であり、ITサービスの運用管理には適用できない。

解説

ISMSは「情報を守る仕組み」(鍵・暗号・アクセス制限等)、ITSMは「ITサービスをうまく回す仕組み」(インシデント管理・変更管理等)。守備が得意なISMS、運営が得意なITSM。

なぜ イ が正解か

イが正解。ISMS(ISO/IEC 27001):情報セキュリティリスクを管理するPDCAサイクル。機密性・完全性・可用性(CIA)の維持が目標。第三者認証制度あり。ITSM(ITILが代表フレームワーク):ITサービスの設計・移行・運用・継続的改善を管理。両者の重複領域:可用性管理・継続性管理・アクセス管理等。ISMS認証なしでもITSM実施可能で相互に独立。

なぜ ア は間違いか

ISO/IEC 27001とITILは規格の性質・目的・管理対象がすべて異なる独立した体系。前者はセキュリティ管理規格、後者はサービス管理フレームワーク。

なぜ ウ は間違いか

ISMSとITSMは独立したフレームワーク。ISMSなしでITSM実施は可能(実際に多くの企業がそうしている)。依存関係はない。

なぜ エ は間違いか

ISMSはソフトウェア開発限定ではない。組織の情報資産全体(物理・人的・システム・組織的管理を含む)に適用できる広範な管理体系。

出典: AI生成問題(学習用)