情報セキュリティアドミニストレータ平成15年問35
ISMS適合性評価制度における詳細管理策の基となった国際規格はど
れか。
ア ISO 9001
イ ISO 14001
ウ ISO 15408
エ ISO 17799
解答
エ ISO 17799
◇ISMS適合性評価制度 とは。。。
経済産業省が実施してきた情報システム安全対策実施事業所認定制度(安
対制度)は改革により、従来の制度が2001年3月で廃止され、
BS7799-2:2002に沿った新しい認定制度が開始されました。
このため、財団法人日本情報処理開発協会(JIPDEC)から情報セキュリテ
ィマネジメントシステム適合性評価制度が発表されました。
ISMS適合性評価制度とは、組織のセキュリティ管理に関する適合性を客観
的に評価する制度です。
◇ISO/IEC17799 とは。。。
BSI(英国規格協会)によって規定されるBS7799はPart1の情報セキュリテ
ィ管理実施基準とPart2の情報セキュリティ管理システム仕様の2部構成
となっています。
ISO/IEC17799とは、BS7799Part1が国際標準化規格となったもので、情報
セキュリティ管理の実施基準を提供しています。
> ア ISO 9001
◇ISO 9001 とは。。。
ISO 9001とは国際品質システム規格であり、製品提供者が備えておくべき
品質管理と品質保証の国際標準モデルとして制定されています。
> イ ISO 14001
◇ISO 14001 とは。。。
ISO 14000シリーズは環境マネジメントシステム規格であり、ISO 14001で
は環境マネジメントシステム(EMS)をどのように構築すればよいかを定め
ています。
> ウ ISO 15408
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術セキュリ
ティの観点から、情報技術に関連した製品およびシステムが適切に設計さ
れ、その設計が正しく実装されているかどうかを評価するためのセキュリ
ティ基準です。
1999年6月にISO/IEC規格として承認されました。
また、2000年7月にはJIS X 5070として制定されました。
規定される内容は次の三つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11項目の機能クラスがある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されているこ
との保証を求める
・10の保証クラス、7のセキュリティレベル=EAS(Evaluation
Assurance Level)1~7がある
れか。
ア ISO 9001
イ ISO 14001
ウ ISO 15408
エ ISO 17799
解説
難易度 ★★★解答
エ ISO 17799
◇ISMS適合性評価制度 とは。。。
経済産業省が実施してきた情報システム安全対策実施事業所認定制度(安
対制度)は改革により、従来の制度が2001年3月で廃止され、
BS7799-2:2002に沿った新しい認定制度が開始されました。
このため、財団法人日本情報処理開発協会(JIPDEC)から情報セキュリテ
ィマネジメントシステム適合性評価制度が発表されました。
ISMS適合性評価制度とは、組織のセキュリティ管理に関する適合性を客観
的に評価する制度です。
◇ISO/IEC17799 とは。。。
BSI(英国規格協会)によって規定されるBS7799はPart1の情報セキュリテ
ィ管理実施基準とPart2の情報セキュリティ管理システム仕様の2部構成
となっています。
ISO/IEC17799とは、BS7799Part1が国際標準化規格となったもので、情報
セキュリティ管理の実施基準を提供しています。
> ア ISO 9001
◇ISO 9001 とは。。。
ISO 9001とは国際品質システム規格であり、製品提供者が備えておくべき
品質管理と品質保証の国際標準モデルとして制定されています。
> イ ISO 14001
◇ISO 14001 とは。。。
ISO 14000シリーズは環境マネジメントシステム規格であり、ISO 14001で
は環境マネジメントシステム(EMS)をどのように構築すればよいかを定め
ています。
> ウ ISO 15408
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術セキュリ
ティの観点から、情報技術に関連した製品およびシステムが適切に設計さ
れ、その設計が正しく実装されているかどうかを評価するためのセキュリ
ティ基準です。
1999年6月にISO/IEC規格として承認されました。
また、2000年7月にはJIS X 5070として制定されました。
規定される内容は次の三つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11項目の機能クラスがある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されているこ
との保証を求める
・10の保証クラス、7のセキュリティレベル=EAS(Evaluation
Assurance Level)1~7がある