第23問(H25)
　組織の情報セキュリティ基準として、「情報セキュリティマネジメントシステム
(ISMS)適合性評価制度」が広く使われている。これに関する記述として最も適切な
ものはどれか。

ア　JIS Q 20000-1 適合性に関する制度である。
イ　適合性の認証制度は、「認証機関」、「要員認証機関」、「認定機関」からなる仕組
　みである。
ウ　適合性の認証登録後は、10年ごとに再認証審査を行う。
エ　標準として決められたセキュリティレベルでのシステム運用を求める。

正解：　イ
　ISO/IEC 27001 に適合する情報セキュリティマネジメントシステム(ISMS)適合性
評価制度の出題。選択肢ウのセキュリティで10年は長すぎ、選択肢エのレベル設定は
それぞれの組織が決めるもので不適切となろう。