令和5年試験問題 問56

ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。

  • PaaS,SaaSが対象であり,IaaSは対象ではない。
  • クラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
  • クラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組織は対象ではない。
  • クラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
ISMSクラウドセキュリティ認証は、通常のISMS認証(JIS Q 27001)に加え、クラウドサービスに固有のセキュリティ管理策(JIS Q 27017)が適切に導入され、実施されていることを認証する制度です。JIPDEC(日本情報経済社会推進協会)によって運用されています。

認証を受けることで、クラウドサービスの提供や利用に係るリスクに適切に対処していることを示すことができ、自組織のセキュリティリスクを下げるとともに、顧客にも安心感を与えることができます。
  • SaaS、PaaS、IaaSのいずれも認証対象としています。
  • 正しい。ISMSクラウドセキュリティ認証は、クラウドサービスの固有の管理策が、組織に導入され、適切に運用されていることを第三者機関が認証するものです。
  • クラウドサービスのプロバイダ(提供者)だけでなく、カスタマ(利用者)を対象としています。JIS Q 27017(クラウドサービスのための情報セキュリティ管理策の実践の規範)は、利用者側・提供者側それぞれの実施基準を示しているので、認証の対象も両方です。
  • 個人情報保護マネジメントシステムを対象とするプライバシーマーク制度(JIS Q 15001認証)の説明です。

Pagetop