ITパスポートの過去問
令和4年度
テクノロジ系 問58

ISMS（情報セキュリティマネジメントシステム）とは、企業内で適切に情報セキュリティ対策が実施されるよう、セキュリティ水準の策定及び情報システムを運用するための仕組みのことです。

企業では情報セキュリティ責任者を任命し、管理者はそのセキュリティルールを策定します。そしてそのルールは定期的に見直す必要があります。このルールがISMSです。

また、この責任者をCISO(Chief Information Security Officer)といいます。

ISMSは情報セキュリティのCIAの観点からアプローチします。

機密性 (Confidentiality) ・・・ データの秘密が保証されること

完全性 (Integrity) ・・・ データが破壊、改ざんされないこと

可用性 (Availability) ・・・ 権限のあるものが、必要な時、必要なデータを取り扱えること

ではこのISMSはどのように活用していくのか、設問の「計画 → 運用 → 評価 → 改善」の順に見ていきましょう。

■計画 (選択肢4を行う段階)

まず、組織内における情報セキュリティ面での問題を洗い出します。例えば「ログインパスワードは使いまわしていないか？」「サーバーのOSやミドルウェアにセキュリティホールはないか？」「不要な紙媒体の処分方法に問題はないか？」です。

そこで発覚した問題とそれによる不利益の見える化、緊急度の決定と対処法の策定までします。

■運用 (選択肢1を行う段階)

セキュリティ目的を達成するための活動を計画し、継続のために管理する必要があります。特に計画を変更した場合には予期しない事故に対処するため、変更管理を行う必要があります。

■パフォーマンス評価 (選択肢2を行う段階)

運用しているISMSは、それが効果的であるかをチェックする必要があります。具体的にはISMS規格であるJIS Q 27001:2014に準拠しているか、というチェックです。

そのため、ISMSを策定した組織は内部監査を実施する必要があります。監査内容は範囲や基準を明確化し、文書化する必要があります。

■改善 (選択肢3を行う段階)

ISMSで策定したことについての違反などについての取り決め、いわゆるイレギュラー対応です。

イレギュラーによる悪影響への対処や再発防止のため原因究明が重要となります。

また、似たようなイレギュラーが起こらないかのレビューも必要とされます。

2が正解です。

ISMS(Information Security Management System)とは、一般財団法人 日本情報経済社会推進協会によって定められた情報セキュリティ管理の認証制度です。

常に機密性、完全性、可用性をバランスよく維持し、「Plan(計画)」「Do(実行)」「Check(評価)」「Act(改善)」の4つの取り組みであるPDCAサイクルに沿って、セキュリティを管理していくことが重要とされています。

パフォーマンス評価では、ISMS規格の内容に適合しているかどうか、計画通りに進められているかなどを内部監査するPDCAの「Check(評価)」プロセスです。

1の解説）PDCAの「Check(評価)」プロセスです。

2の解説）正解です。

3の解説）PDCAの「Do(実行)」プロセスです。

4の解説）PDCAの「Plan(計画)」プロセスです。

ISMS（情報セキュリティマネジメントシステム）の各フェーズでの役割は以下の通りです。

　計画・・・リスクの決定、計画策定

　運用・・・運用の計画、管理

　パフォーマンス評価・・・監視、測定、分析、内部監査

　改善・・・不適合、是正処置、継続的改善

よって、２が正解です。