平成28年度 春期 ITパスポート試験 問91 解説 ISMS適合性評価制度

この問題は、ISMSという用語の定義と、認証制度の基本的な仕組みを理解していれば即答できる問題です。

キーワードは「ISMS」と「認証」の2点です。ISMSは情報セキュリティマネジメントシステム（Information Security Management System）の略称であるため、aには「情報セキュリティ」が入ります。また、「認証」という言葉は、組織と利害関係のない第三者が審査を行うことで信頼性を保証する仕組みを指すため、bには「特定の第三者機関」が入ります。したがって、エが正解となります。

ISMSと認証の仕組み

ISMSは、組織が情報セキュリティを適切に管理するための仕組みを指します。単にルールを作るだけでなく、計画（Plan）、実施（Do）、確認（Check）、改善（Act）のPDCAサイクルを回すことで、組織内の情報漏洩やセキュリティ事故のリスクを低減させることが目的です。

このマネジメントシステムが国際的な基準や国の基準を満たしていることを客観的に証明するのが「認証」です。もし自分自身で「うちはセキュリティが万全です」と宣言しても、客観的な信頼性は低くなります。そこで、独立した公平な第三者機関が厳しく審査を行い、合格した組織に「ISMS認証」というお墨付きを与えるのです。

なぜこの知識が重要なのか

実際のビジネス現場において、ISMS認証は「信頼の証」として非常に強力な武器になります。

例えば、顧客企業が新しいITベンダーと取引を始める際、そのベンダーのセキュリティレベルを個別に調査するのは多大なコストと時間がかかります。しかし、そのベンダーが第三者機関からISMS認証を取得していれば、顧客企業は「この組織は国際基準を満たすセキュリティ体制を整えている」と判断でき、安心して契約を結ぶことができます。

情報セキュリティの専門家だけでなく、営業担当者や経営層にとっても、ISMS認証というキーワードを知っておくことは、自社の信頼性を外部にアピールする上で不可欠な基礎知識といえます。

参考リンク

• 【ITパスポート】ISMS（情報セキュリティマネジメントシステム）をわかりやすく解説
• ISMS認証取得の現場で起きていること：なぜ取得を目指すのか
• 情報マネジメントシステム認定センター（ISMS認証制度の概要）