問56の正解: イテクノロジ系/セキュリティ
ISMS クラウドセキュリティ認証に関する記述として、適切なものはどれか。
この設問が問うていること
クラウドサービスに特化したISMSクラウドセキュリティ認証の特徴について問う設問です。
アPaaS, SaaS が対象であり, IaaS は対象ではない。
選択肢アの解説: IaaS、PaaS、SaaSのすべてのクラウドサービス形態が認証の対象となります。
イクラウドサービス固有の管理策が適切に導入、実施されていることを認証するものである。正解
選択肢イの解説: クラウドサービス特有の情報セキュリティ管理策(ISO/IEC 27017)が適切に導入・運用されていることを証明する認証であり、適切です。
ウクラウドサービスを提供している組織が対象であり、クラウドサービスを利用する組織は対象ではない。
選択肢ウの解説: クラウドサービスを提供する側(プロバイダ)だけでなく、利用する側(カスタマ)の組織も認証を取得することができます。
エクラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である。
選択肢エの解説: プライバシーマークは個人情報保護体制を評価する制度であり、ISMSクラウドセキュリティ認証とは別個の独立した制度です。
総合解説
ISMSクラウドセキュリティ認証(ISO/IEC 27017)は、通常の情報セキュリティマネジメントシステム(ISMS)認証に加えて、クラウドサービス特有のセキュリティ管理基準(管理策)が適切に構築・導入されていることを認証する制度です。クラウドプロバイダ(提供者)とクラウドカスタマ(利用者)の両方を対象としています。PaaS/SaaSだけでなくIaaSも当然対象になります(a)。プライバシーマークとは無関係の制度です(d)。したがって、正解はbです。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)