コンプライアンス比較
「ISO 27001認証」と「SOC 2 Type II報告書」の相違点について、最も正確な説明はどれか。
A.ISO 27001は年1回の監査で、SOC 2 Type IIは最低6ヶ月間の継続的監査である
✗ SOC 2 Type IIは最低6ヶ月~1年間の継続的監査が一般的ですが、ISO 27001は継続的な管理体系で、監査頻度だけの違いではありません。
B.ISO 27001は情報セキュリティマネジメントシステム全般の国際規格であり、SOC 2 Type IIはアメリカのセキュリティ・可用性・処理完全性などの信頼原則に基づく報告書である← 正解
✓ 正解です。ISO 27001は国際的なセキュリティマネジメント規格、SOC 2 Type IIはCPAの独立監査に基づいた信頼報告書であり、基準と形式が異なります。
C.ISO 27001は顧客企業が取得し、SOC 2 Type IIはサービスプロバイダー(Microsoft等)が取得する
✗ 両者ともサービスプロバイダーが取得することが多く、顧客企業はその認証状況を確認します。ISO 27001を顧客が取得するとは限りません。
D.ISO 27001はオンプレミスのみ対象で、SOC 2 Type IIはクラウドのみ対象である
✗ ISO 27001もSOC 2 Type IIもクラウドを含む情報資産全体に適用可能で、オンプレミス限定ではありません。
この問題のポイント
ISO 27001は国際的なセキュリティマネジメント規格、SOC 2 Type IIはCPAの独立監査に基づいた信頼報告書であり、基準と形式が異なります。
「コンプライアンス」の他の問題
ある企業の法務・コンプライアンス担当者が「MicrosoftがGDPRやISO 27001などの規制要件にどのように対応…ある企業がAzure上でHIPAA(医療情報)に準拠したシステムを構築したい。「Microsoftとの間でHIPAAのビ…ある企業のコンプライアンス担当者が「自社のAzure環境がNIST SP 800-53やPCI DSSなどの規制フレーム…ある企業がAzureのデータガバナンスを強化したい。「データレイク・SQL Database・BlobストレージなどのA…ある企業が「Azureのクラウドサービスにおいて、顧客データはどの国のデータセンターに保存されるか」「Microsoft…ある企業の情報セキュリティ担当者が「AzureがSOC 2 Type IIの監査を受けているかどうかを証明する報告書を取…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。