読み方 : じょうほうセキュリティかんりきじゅん

情報セキュリティ管理基準

概要

情報セキュリティ管理基準とは、経済産業省が公開している、組織体が情報セキュリティ管理を適切に遂行するためのガイドライン。企業などが情報資産やこれを管理するITシステムの安全を確保する体制を構築・運用するための実践的な規範を示している。

解説 情報セキュリティ管理に関する国際規格のISO/IEC 27000シリーズ、およびこれを国内規格化したJIS Q 27000シリーズに準拠したガイドラインで、同規格に基づいて運用されるISMS適合性評価制度の基準とも整合するよう調整されている。

ISMS認証の基準を示したISO/IEC 27001およびJIS Q 27001に基づく「マネジメント基準」と、情報セキュリティ管理のベストプラクティスを示したISO/IEC 27002およびJIS Q 27002に基づく「管理策基準」で構成される。章立てなどもこれらの規格に沿った構成になっているが一部に異なる部分がある。

マネジメント基準は組織体が経営上の仕組みとして情報セキュリティマネジメントシステムを組み入れ、管理体制を組織し業務として運用するための指針を示したもので、原則すべて実施すべきとされる。管理策基準は実際の運用に際して実施する施策の選択肢を示したもので、組織体の実情に合わせて取捨選択すべきとされる。

2003年に初版が公開され、参照している標準規格の改訂に合わせて随時改訂が行われている。最新版はJIS Q 27001:2014等に準拠した平成28年版(2016年公開)である。なお、同省が公開している「情報セキュリティ監査基準」に基づいて監査を行う際には、原則として情報セキュリティ管理基準を判断の尺度として用いられることと定められている。

(2023.10.10更新)

他の用語辞典による「情報セキュリティ管理基準」の解説 (外部サイト)

資格試験などの「情報セキュリティ管理基準」の出題履歴

▼ 基本情報技術者試験
令7公 問15】 サーバ室の物理的な安全対策の状況について,情報セキュリティ管理基準(平成28年)に照らして,情報セキュリティ監査を行って判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
令6修1 問45】 A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について, “情報セキュリティ管理基準(平成28年)” に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
令5公 問14】 A社では,従業員が自宅のPCからインターネット経由で自社のネットワークに接続して仕事を行うテレワーキングの実施を計画している。
令4修1 問58】 A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について, “情報セキュリティ管理基準(平成28年)” に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
令2修7 問60】 A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について, “情報セキュリティ管理基準(平成28年)” に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
平31春 問60】 A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について, “情報セキュリティ管理基準(平成28年)” に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。