SG 令和5年度問1

　情報セキュリティ管理基準（平成 28 年）に関する記述のうち，適切なものはどれか。

“ガバナンス基準”，“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。
JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）及び JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）との整合性をとっている。
情報セキュリティ対策は，“管理策基準”に挙げられた管理策の中から選択することとしている。
トップマネジメントは，“マネジメント基準”に挙げられている事項の中から，自組織に合致する事項を選択して実施することとしている。

　イ

　情報セキュリティ管理基準は、情報セキュリティについて組織を指揮統制するために調整された活動である情報セキュリティマネジメントを確立、導入、運用、監視、維持及び改善するための基準を定めたもので、経済産業省のHPで公開されています。

“ガバナンス基準”，“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。
情報セキュリティ管理基準は、“マネジメント基準”と“管理策基準”の二つの基準で構成されています。
上記三つの基準で構成されているのは、政府情報システムのためのセキュリティ評価制度（ISMAP）管理基準です。
JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）及び JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）との整合性をとっている。
適切です。
情報セキュリティ管理基準に関する記述です。
情報セキュリティ対策は，“管理策基準”に挙げられた管理策の中から選択することとしている。
“管理策基準”は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものであって、必ずしもその中から選択しなければならないわけではありません。
トップマネジメントは，“マネジメント基準”に挙げられている事項の中から，自組織に合致する事項を選択して実施することとしている。
“マネジメント基準”は、原則としてすべて実施しなければならないものです。