情報セキュリティアドミニストレータ平成15年問35
ISMS適合性評価制度における詳細管理策の基となった国際規格はど
れか。
ア ISO 9001
イ ISO 14001
ウ ISO 15408
エ ISO 17799
解答
エ ISO 17799
◇ISMS適合性評価制度 とは。。。
経済産業省が実施してきた情報システム安全対策実施事業所認定
制度(安対制度)は改革により、従来の制度が2001年3月で廃止さ
れ、BS7799-2:2002に沿った新しい認定制度が開始されました。
このため、財団法人日本情報処理開発協会(JIPDEC)から情報セ
キュリティマネジメントシステム適合性評価制度が発表されまし
た。
ISMS適合性評価制度とは、組織のセキュリティ管理に関する適合
性を客観的に評価する制度です。
◇ISO/IEC17799 とは。。。
BSI(英国規格協会)によって規定されるBS7799は、Part1の情報
セキュリティ管理実施基準とPart2の情報セキュリティ管理システ
ム仕様の2部構成となっています。
ISO/IEC17799とは、BS7799Part1が国際標準化規格となったもので、
情報セキュリティ管理の実施基準を提供しています。
> ア ISO 9001
◇ISO 9001 とは。。。
ISO 9001とは国際品質システム規格であり、製品提供者が備えて
おくべき品質管理と品質保証の国際標準モデルとして制定されて
います。
> イ ISO 14001
◇ISO 14001 とは。。。
ISO 14000シリーズは環境マネジメントシステム規格であり、
ISO 14001では環境マネジメントシステム(EMS)をどのように構築
すればよいかを定めています。
> ウ ISO 15408
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術
セキュリティの観点から、情報技術に関連した製品およびシステ
ムが適切に設計され、その設計が正しく実装されているかどうか
を評価するためのセキュリティ基準です。
1999年6月にISO/IEC規格として承認されました。また、2000年7月
にはJIS X 5070として制定されました。
規定される内容は次の三つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11項目の機能クラスがある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されているこ
との保証を求める
・10の保証クラス、7のセキュリティレベル=EAS(Evaluation
Assurance Level)1~7がある
れか。
ア ISO 9001
イ ISO 14001
ウ ISO 15408
エ ISO 17799
解説
難易度 ★解答
エ ISO 17799
◇ISMS適合性評価制度 とは。。。
経済産業省が実施してきた情報システム安全対策実施事業所認定
制度(安対制度)は改革により、従来の制度が2001年3月で廃止さ
れ、BS7799-2:2002に沿った新しい認定制度が開始されました。
このため、財団法人日本情報処理開発協会(JIPDEC)から情報セ
キュリティマネジメントシステム適合性評価制度が発表されまし
た。
ISMS適合性評価制度とは、組織のセキュリティ管理に関する適合
性を客観的に評価する制度です。
◇ISO/IEC17799 とは。。。
BSI(英国規格協会)によって規定されるBS7799は、Part1の情報
セキュリティ管理実施基準とPart2の情報セキュリティ管理システ
ム仕様の2部構成となっています。
ISO/IEC17799とは、BS7799Part1が国際標準化規格となったもので、
情報セキュリティ管理の実施基準を提供しています。
> ア ISO 9001
◇ISO 9001 とは。。。
ISO 9001とは国際品質システム規格であり、製品提供者が備えて
おくべき品質管理と品質保証の国際標準モデルとして制定されて
います。
> イ ISO 14001
◇ISO 14001 とは。。。
ISO 14000シリーズは環境マネジメントシステム規格であり、
ISO 14001では環境マネジメントシステム(EMS)をどのように構築
すればよいかを定めています。
> ウ ISO 15408
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術
セキュリティの観点から、情報技術に関連した製品およびシステ
ムが適切に設計され、その設計が正しく実装されているかどうか
を評価するためのセキュリティ基準です。
1999年6月にISO/IEC規格として承認されました。また、2000年7月
にはJIS X 5070として制定されました。
規定される内容は次の三つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11項目の機能クラスがある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されているこ
との保証を求める
・10の保証クラス、7のセキュリティレベル=EAS(Evaluation
Assurance Level)1~7がある