問題
問91
ISMS適合性評価制度に関する次の記述中のa, bに入れる字句の適切な組合せはどれか。
[出典:ITパスポート試験 平成28年度春期 問91]
正解
正解は「エ」です。
解説
ISMS(情報セキュリティマネジメントシステム)適合性評価制度は、企業や組織が情報セキュリティを適切に管理していることを客観的に評価し、認定する制度です。この制度の目的は、企業が情報資産を保護するための仕組み(マネジメントシステム)を効果的に構築し、運用しているかを保証することにあります。
記述の「a」には「情報セキュリティ」が入ります。ISMSは「情報セキュリティ」に関するマネジメントシステムだからです。そして、「b」には「特定の第三者機関」が入ります。なぜなら、ISMS適合性評価制度では、その組織がISMSの基準を満たしているかどうかを、その組織とは独立した立場の「特定の第三者機関」(例えば、ISMS認証機関)が審査し、認定を行うからです。組織自身が監査を行うだけでは、客観性や信頼性が十分に確保できないため、外部の専門機関による審査が必要とされます。
これにより、その組織の情報セキュリティ管理が国際的な基準に達していることが証明され、顧客や取引先からの信頼を得ることができます。例えば、製品やサービスが安全であることを消費者が確認する際に、第三者機関の認定がある方が安心できるのと同じ考え方です。
ア(個人情報保護 組織内の監査を行う部署):
ISMSは個人情報保護だけでなく、企業全体の情報資産のセキュリティ管理を対象とします。また、認定は特定の第三者機関が行います。
イ(個人情報保護 特定の第三者機関):
ISMSは個人情報保護に限定されるものではなく、企業が扱うあらゆる情報資産のセキュリティを対象とします。
ウ(情報セキュリティ 組織内の監査を行う部署):
「a」は情報セキュリティで正しいですが、「b」は組織内の監査を行う部署ではなく、客観的な評価を行う特定の第三者機関が審査・認定を行います。
難易度
この問題は、ISMS適合性評価制度の基本的な概念と、その審査・認定を行う主体について理解していれば、比較的容易に解答できるでしょう。ITパスポート試験で頻出する情報セキュリティの分野からの出題であり、ISMSが「情報セキュリティ」に関するものであること、そして「第三者機関」による客観的な審査が重要であるというポイントを押さえていれば、迷うことなく正解にたどり着けるレベルです。
用語補足
ISMS適合性評価制度:
企業や組織が情報セキュリティを適切に管理するための仕組み(マネジメントシステム)を構築し、運用していることを、外部の専門機関が審査・認定する制度です。例えば、料理店が衛生管理の基準を満たしていることを外部の機関が認めるようなものです。
個人情報保護:
氏名、住所、生年月日など、個人を特定できる情報を不正なアクセスや漏洩から守るための活動や制度です。例として、企業の顧客データ管理や、病院の患者カルテの取り扱いなどが該当します。
組織内の監査を行う部署:
企業や組織の中で、自社の業務プロセスやシステムがルール通りに適切に運用されているかを確認・評価する部門のことです。例えば、会社の経理部門が自社の会計処理が正しいかチェックするような役割です。
特定の第三者機関:
ある企業や組織から独立した立場で、客観的に評価や審査を行う専門機関です。公平性を保つことが重要な場面で活用されます。例えば、学校のテストを採点する際に、先生以外の第三者が採点することで公平性を保つようなイメージです。
対策
この問題を解くには、まずISMSが「情報セキュリティ」に関する国際的な管理の枠組みであることを理解することが重要です。次に、適合性評価制度において、その組織が基準を満たしているかを「誰が」審査し「認定するのか」というポイントを押さえましょう。自社で監査するだけでは客観性に欠けるため、独立した「特定の第三者機関」が審査を行うことを覚えておくと良いです。関連する情報セキュリティマネジメントの用語(Pマーク、プライバシーマークなど)との違いも確認しておくと、より深く理解できます。
