応用情報技術者試験令和5年春午前問39 解説付き過去問

問題

"政府情報システムのためのセキュリティ評価制度(ISMAP)"の説明はどれか。

個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して、適合を示すマークを付与し、個人情報を取り扱う政府情報システムの運用について、当該マークを付与された者への委託を認める制度

個人データを海外に移転する際に、移転先の国の政府が定めた情報システムのセキュリティ基準を評価して、日本が求めるセキュリティ水準が確保されている場合には、本人の同意なく移転できるとする制度

政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度

プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして、政府情報システムにおける情報セキュリティ管理体制を評価する制度

この問題は、「政府情報システムのためのセキュリティ評価制度（ISMAP）」の目的と特徴について問うものです。

ISMAPの概要
ISMAP（Information system Security Management and Assessment Program）は、
政府がクラウドサービスを調達する際に、一定のセキュリティ水準を確保することを目的として設けられた評価制度です。
クラウドサービス事業者が提供するサービスを事前に評価・登録することで、
政府機関が安心してそのサービスを利用できるようにします。
対象とするサービス
ISMAPはクラウドサービスを対象とし、個人情報や機密情報などを含む情報を扱う政府機関にとって
セキュリティ上の信頼性が求められるサービスについて、あらかじめ審査を行います。
評価項目は、政府が定めた統一基準に基づき、国際的な情報セキュリティマネジメントの考え方も踏まえたものになっています。
導入のメリット
ISMAPによって評価・登録されたクラウドサービスは、政府のシステム調達時にスムーズに導入されやすくなります。
また、事業者にとっては自社サービスの信頼性向上につながり、公共市場への参入機会が広がる利点もあります。

したがって、ISMAPは「政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価、登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度」です。