JIS Q 27017:2016|情報処理安全確保支援士試験 令和3年秋期午前Ⅱ 問9
出典:令和3年秋期 午前Ⅱ 問9
分野:セキュリティ / 情報セキュリティ管理
JIS Q 27002:2014には記載されていないが,JIS Q 27017:2016において記載されている管理策はどれか。
- ア:クラウドサービス固有の情報セキュリティ管理策
- イ:事業継続マネジメントシステムにおける管理策
- ウ:情報セキュリティガバナンスにおける管理策
- エ:制御システム固有のサイバーセキュリティ管理策
TSUNAGARU-ADVICE
まず押さえたいこと
JIS Q 27017:2016は、クラウドサービスに関する情報セキュリティ管理策を扱う規格です。JIS Q 27002を基礎にしつつ、クラウドサービス固有の管理策が追加されています。
迷ったときの判断軸
JIS Q 27002は、一般的な情報セキュリティ管理策を示す規格です。これに対してJIS Q 27017は、クラウドサービスの提供者と利用者の責任分担、仮想環境、クラウド上のデータ管理など、クラウド特有のリスクや管理策を扱うと判断できます。
科目Bにつなげるために
科目Bでは、クラウド利用時に、クラウド事業者と利用者のどちらがどの管理策を担うかを問われることがあります。JIS Q 27017は、クラウド環境における責任分界と管理策を考えるための規格として整理しておきましょう。
JIS Q 27002:2014は、情報セキュリティ管理策の実践規範を示した規格です。
一方、JIS Q 27017:2016は、JIS Q 27002を基に、クラウドサービスに関する情報セキュリティ管理策を追加・補足した規格です。クラウドサービス提供者とクラウドサービス利用者の責任分担など、クラウド特有の観点が扱われます。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:事業継続マネジメントシステムにおける管理策
⇒事業継続マネジメントシステムは、災害や障害などが発生した場合でも事業を継続・復旧するための仕組みに関するものです。JIS Q 27017:2016で追加される主な内容は、クラウドサービス固有の情報セキュリティ管理策です。
ウ:情報セキュリティガバナンスにおける管理策
⇒情報セキュリティガバナンスは、組織全体として情報セキュリティを方向付け、監督するための考え方です。JIS Q 27017:2016は、クラウドサービスの利用・提供に関する管理策を補足する規格であり、ガバナンス専用の管理策を追加するものではありません。
エ:制御システム固有のサイバーセキュリティ管理策
⇒制御システム固有のサイバーセキュリティは、工場や社会インフラなどの制御システムを対象とする領域です。JIS Q 27017:2016は、制御システムではなく、クラウドサービスに関する情報セキュリティ管理策を扱います。