今回のテーマは、「情報セキュリティ管理基準(平成 28 年)」である。
令和5年度 情報セキュリティマネジメント試験 公開問題 科目 A・B
問1 情報セキュリティ管理基準(平成 28 年)に関する記述のうち,適切なものはどれか。
ア “ガバナンス基準”,“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。
イ JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。
ウ 情報セキュリティ対策は,“管理策基準”に挙げられた管理策の中から選択することとしている。
エ トップマネジメントは,“マネジメント基準”に挙げられている事項の中から,自組織に合致する事項を選択して実施することとしている。
答えを確認する
正解は イ です。
【前提知識】
情報セキュリティ管理基準(平成 28 年)
情報セキュリティ管理基準とは、組織が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール(管理策) を整備・運用するための実践的な規範として経済産業省が2003年(平成15年)に策定したもので、国際標準規格とそれらを日本語に翻訳したJIS規格をもととしている。 JIS Q 27001:2014とJIS Q27002:2014への規格の改訂にあわせて、2016年(平成28年)には情報セキュリティ 管理基準も改訂されている。
ア 誤り。
情報セキュリティ管理基準は、マネジメント基準と管理策基準の二つから構成されます。 ガバナンス基準、管理策基準及びマネジメント基準の三つの基準で構成されているのは、政府情報システムのためのセキュリティ評価制度 (ISMAP) 管理基準である。
イ 正解。
ウ 誤り。
情報セキュリティ管理基準では、「管理策基準」 は組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものとされており、 必ずこの管理策基準の中から選択しなければならないものではない。
エ 誤り。
“マネジメント基準”は、原則としてすべて実施する必要がある。
(解法のポイント)
平成28年版は日本の情報セキュリティの基礎を築いた重要な基準だが、令和7年版は「クラウド・DX時代の高度な脅威」に対応するためのアップグレード版である。現在では、令和7年版を最新の正典として参照することが推奨されている。ただし、実務は令和7年版、試験は平成28年版中心である。
令和7年(2025年)改正版へのアップデート
技術の進歩や脅威の変化に伴い、平成28年版では対応しきれない課題が浮き彫りになったため、今回の抜本的な改正が行われた。
改正の主な理由
国際規格の改訂への追従
ベースとなる ISO/IEC 27002 が2022年に改訂され、管理策が「114項目」から「93項目」へ再編・統合された。
最新の脅威への対応
クラウド利用の拡大、リモートワークの普及、サプライチェーン攻撃の激化、エンドポイントセキュリティ(EDR等)の重要性の高まり。
(参考)令和08年 情報セキュリティマネジメント パーフェクトラーニング過去問題集(庄司 勝哉 ほか著 技術評論社)
コメント