問10 基本評価基準、現状評価基準、環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。

ア CVSS   イ ISMS   ウ PCI DSS   エ PMS


正解 ア


解説


ア 正解
共通脆弱性評価システム CVSS(Common Vulnerability Scoring System コモンバルネラビリティスコアリングシステム) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで 2004年10月に原案が作成されました。
CVSSでは、基本評価基準、現状評価基準、環境評価基準の三つの基準で脆弱性を評価します。
参考 IPA 独立行政法人 情報処理推進機構:共通脆弱性評価システムCVSS概説

イ 不正解
ISMS(Information Security Management System)情報セキュリティマネジメントシステム は、組織における情報セキュリティを管理するための仕組みです。
ISMSはPDCAプロセスが特徴です。

ウ 不正解
PCI DSS(Payment Card Industry Data Security Standard) とは、クレジットカードの国際ブランドが立ち上げたクレジット業界のセキュリティ基準です。
PCI DSS v2.0では、カード会員データおよび取り引き情報を保護するために12の要件が規定されています。

エ 不正解
PMS(Personal information protection Management Systems)個人情報保護マネジメントシステム要求事項 JIS Q 15001:2006 とは、事業者が個人情報を安全に管理するための要求事項です。
JIPDEC(一般財団法人日本情報経済社会推進協会)のプライバシーマーク推進センターはJIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドラインを公開しており、PMSにもとにしたガイドラインに準拠することでプライバシーマークを取得できるようです。