従来の情報セキュリティマネジメントシステム規格を基礎に追加で制定されたもので、クラウドサービスに対応した情報セキュリティ管理体制を構築するためのガイドライン規格として、最も適切なものはどれか。
ア
ISO 14001
あなたの解答
× 不正解です。ISO 14001は環境マネジメントシステムの規格であり、情報セキュリティやクラウドサービスとは関係ありません。
イ
JIS Q 15001
あなたの解答
× 不正解です。JIS Q 15001は個人情報保護マネジメントシステム(プライバシーマーク)の国内規格であり、クラウドサービスに特化した規格ではありません。
ウ
ISO/IEC 27017
正解
あなたの解答
○ 正解です。ISO/IEC 27017は、クラウドサービスのための情報セキュリティ管理策を定めた国際規格で、ISO/IEC 27002を基にクラウド固有のセキュリティ管理策を追加しています。
エ
ISO 9001
あなたの解答
× 不正解です。ISO 9001は品質マネジメントシステムの規格であり、情報セキュリティとは無関係です。
解説
正解はウです。
ISO/IEC 27017は、従来のISO/IEC 27001(情報セキュリティマネジメントシステム規格)を基礎として、クラウドサービスに特化したセキュリティ管理策を追加で規定した国際規格です。
クラウドサービスの普及に伴い、データの所在地、マルチテナント環境、サービス提供者との責任分界点などクラウド特有のリスクに対応するため制定されました。