SG試験で覚えるべきISO規格まとめ！

情報セキュリティマネジメント試験（SG試験）を受けるにあたって、避けては通れないものが、JIS規格やISO/IEC規格です。特に有名なものだと、「JIS Q27000」シリーズがあります。SG試験ではセキュリティや法務、テクノロジやマネジメント、ストラテジ系と幅広く出題されます。これらの分野ごとに出題されるであろう規格は存在しており、規格の違いを問う問題は、出題される可能性は高いです。この記事を読めば、SG試験でよく出題されるJIS規格やISO/IEC規格について網羅することが可能です！

筆者について
　私は現在、情報学科に通っている大学2年生です。IT系の資格取得のため勉強しており、この記事で取り上げている情報セキュリテイマネジメント試験（SG試験）は今年合格しています。この資格を取ろうと思っている人の少しでも役に立てばと思います！

数字だけ覚えておけば大丈夫！

SG試験ではISOが定めた規格がよく出てきます。
　例）ISO/IEC27000　や　JIS Q 27000　など
ISOとは国際標準化機構のことで、たくさんの国際標準規格を作っている非営利団体です。ISO/IECと表記されているものもありますが、ここでの「IEC」は国際電気標準会議のことであり、ISOと共同で作った規格の場合、そのように表記されているだけです。
　そして、JISとは日本工業規格のことで、JISはISOの国際規格を和訳してJIS規格とすることを積極的に行っています。
　SG試験では、ISO規格がメインであり、IECのみの規格が出題されることはないです。JISはほぼ、＝ISOのため同じと考えてもらって大丈夫です。

では、SG試験に出てくるであろう規格を網羅していきましょう！

JIS Q 27000シリーズ

JIS27000シリーズは、下の5つの数字について覚えておけば大丈夫です。
JIS Q 27000：JIS Q 27000 シリーズで使われる用語集。
JIS Q 27001：ISMS（情報セキュリテイマネジメントシステム）に必要な要求事項。監査（特に保証型監査）の際に判断基準として使われます。
JIS Q 27002：JIS Q 27001の要求事項を達成するためのガイドライン・具体策。
JIS Q 27014：情報セキュリティガバナンスに対する標準規格。
JIS Q 27017：クラウドに対する認証規格規。提供者側と利用者側どちらについても書かれています。

JIS Q 31000

　JIS Q 31000：リスクマネジメントを確立するためのガイドライン。
リスクマネジメント：情報資産・脅威・脆弱性の内、どれか一つを除去するためのセキュリティ対策

ISO/IEC9000シリーズ

　ISO/IEC9000シリーズ：品質マネジメントシステムに対する標準規格。

ISO/IEC14000シリーズ

　ISO/IEC14000シリーズ：環境マネジメントシステムに対する標準規格。

JIS Q 15001

　JIS Q 15001：個人情報に関するコンプライアンス・プログラムの要求事項。プライバシーマークの審査の基準としてJIS Q 15001が使われる。
プライバシーマーク：ある組織が個人情報の扱いを気を付ける仕組みをきちんと構築しているかを審査し、合格した組織に与えられます。

ISO/IEC15408

　ISO/IEC15408：情報システムやソフトウェアを評価する基準。製品の水準はEAL1～7段階で示され、高ければセキュリティ水準が高いです。

実際にはこんな問題が出る！

最後に1問！問題です。

情報セキュリティマネジメント平成28年秋期 午前問30

問30

情報技術セキュリティ評価のための国際標準であり，コモンクライテリア(CC)と呼ばれるものはどれか。

• アISO 9001

• イISO 14004

• ウISO/IEC 15408

• エISO/IEC 27005

正解：ウ

このように標準規格の数字が何に対する規格か知っておくだけで、点に結び付く問題もあります。ぜひ覚えてみてください！