問題
問2 従来の情報セキュリティマネジメントシステム規格を基礎に追加で制定されたもので,クラウドサービスに対応した情報セキュリティ管理体制を構築するためのガイドライン規格として,最も適切なものはどれか。
選択肢
- アISO 14001
- イJIS Q 15001
- ウISO/IEC 27017
- エISO 9001
解説
正解:ウ
概要
この問題は、クラウドサービスに対応した情報セキュリティ管理体制を構築するためのガイドライン規格について問うています。
正解の理由
正解は「ウ」のISO/IEC 27017であり、これはクラウドサービスに特化した情報セキュリティの管理策を提供する国際規格です。従来の情報セキュリティマネジメントシステムの基礎の上に、クラウド環境におけるリスク管理を強化する内容が含まれています。
各選択肢の解説
ア(×): 選択肢アのISO 14001とは、企業や組織が環境への影響を管理し、継続的に改善していくための環境マネジメントシステムに関する国際規格です。環境方針の策定や目標設定、運用管理を行うことで、環境保全と法令遵守の両立を図ることを目的としています。情報セキュリティには関係ありません。
イ(×): 選択肢イのJIS Q 15001とは、個人情報を適切に取り扱うための個人情報保護マネジメントシステムに関する日本工業規格です。組織が個人情報の取得、利用、保管、廃棄までの管理体制を整備し、漏えいや不正利用の防止と継続的な改善を行うことを目的としています。クラウドサービスに特化したものではありません。
ウ(○): 選択肢ウのISO/IEC 27017とは、クラウドサービスにおける情報セキュリティ管理のための国際規格です。ISO/IEC 27001を補完する指針として、クラウド事業者および利用者の双方に対し、責任分担の明確化やデータ保護などの具体的な管理策を定め、安全なクラウドサービスの運用を支援することを目的としています。クラウドサービス向けの情報セキュリティ管理のガイドラインを提供しているため、正解です。
エ(×): 選択肢エのISO 9001とは、製品やサービスの品質を継続的に向上させるための品質マネジメントシステムに関する国際規格です。業務プロセスを標準化し、顧客満足の向上と不具合の防止を図ることで、安定した品質の提供を実現することを目的としています。情報セキュリティには直接関係がありません。
ポイント
クラウドサービスに関連する情報セキュリティの規格として、ISO/IEC 27017を覚えておくことが重要です。この規格は、クラウド環境における特有のリスクに対応するための指針を提供します。