ITパスポートの過去問 平成29年度 秋期 テクノロジ系 問80

ISMS（Information Security Management System）は組織のセキュリティ管理の取組みを評価する認証規格です。
ISMS認証を取得している組織は情報セキュリティ管理が正しく行われている組織と言えます。
例えば、顧客の個人情報が書かれた書類を誰もが見える机の上に放置しているような組織はセキュリティ管理が正しく行われていないため、ISMS認証を取得できません。

a.ISMSは組織の情報セキュリティ管理が正しく行われているかを認証します。
対象が組織であり、システムではないためシステムの脆弱性がない事を保証するものではありません。

b.ISMSは組織が情報セキュリティ管理を正しく行っているかを認証するため、正しい記述です。

c.ISMSの認証対象はあくまで組織であり、暗号モジュールといったシステムやソフトウェアではありません。

正しい記述は「b」のみです。
従って正解は2です。

組織がISMS認証を取得しているということは、組織が情報資産を適切に管理するための仕組みが整っていることを指します。

a．ISMSを取得しているからといってシステムに脆弱性がないとは判断できません。よって誤りです。

b．ISMSを取得していることから、組織が情報資産を適切に管理していると判断できます。よって正解です。

c．ISMSを取得しているからといって暗号モジュールが適切だとは判断できません。よって誤りです。

ISMSとは「情報セキュリティマネジメントシステム」のことで、リスクアセスメントにより、組織が情報セキュリティ上のリスクへ対応を行います。また、ISMSでは、情報セキュリティの３要素である機密性、完全性、可用性を管理・維持することが必要とされています。

a.ISMSは、組織に対しての評価になります。Webサイトの脆弱性とISMSは関係ありませんので、誤りです。

b.ISMS認証を取得している証拠ですので、正解です。

c.ISMSは、組織に対しての評価になります。提供する暗号モジュールとは関係ありませんので、誤りです。