合格.dev › 情報セキュリティマネジメント試験 › 情報セキュリティマネジメント試験 平成29年度秋期 午前 › 問2 情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問2: 組織が JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適 ← 情報セキュリティマネジメント試験 平成29年度秋期 午前
☆ 組織が JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適切なものはどれか。
規格本文の箇条 4〜10 に規定された要求事項 附属書 A“管理目的及び管理策”に規定された管理策 ア 全て適用が必要である。 全て適用が必要である。 イ 全て適用が必要である。 妥当な理由があれば適用除外できる。 ウ 妥当な理由があれば適用除外できる。 全て適用が必要である。 エ 妥当な理由があれば適用除外できる。 妥当な理由があれば適用除外できる。
規格本文の箇条 4〜10 に規定された要求事項:全て適用が必要である。/附属書 A“管理目的及び管理策”に規定された管理策:全て適用が必要である。
規格本文の箇条 4〜10 に規定された要求事項:全て適用が必要である。/附属書 A“管理目的及び管理策”に規定された管理策:妥当な理由があれば適用除外できる。
規格本文の箇条 4〜10 に規定された要求事項:妥当な理由があれば適用除外できる。/附属書 A“管理目的及び管理策”に規定された管理策:全て適用が必要である。
規格本文の箇条 4〜10 に規定された要求事項:妥当な理由があれば適用除外できる。/附属書 A“管理目的及び管理策”に規定された管理策:妥当な理由があれば適用除外できる。
問題本文 組織が JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適切なものはどれか。
選択肢 ア. 規格本文の箇条 4〜10 に規定された要求事項:全て適用が必要である。/附属書 A“管理目的及び管理策”に規定された管理策:全て適用が必要である。イ. 規格本文の箇条 4〜10 に規定された要求事項:全て適用が必要である。/附属書 A“管理目的及び管理策”に規定された管理策:妥当な理由があれば適用除外できる。ウ. 規格本文の箇条 4〜10 に規定された要求事項:妥当な理由があれば適用除外できる。/附属書 A“管理目的及び管理策”に規定された管理策:全て適用が必要である。エ. 規格本文の箇条 4〜10 に規定された要求事項:妥当な理由があれば適用除外できる。/附属書 A“管理目的及び管理策”に規定された管理策:妥当な理由があれば適用除外できる。正解 イ. 規格本文の箇条 4〜10 に規定された要求事項:全て適用が必要である。/附属書 A“管理目的及び管理策”に規定された管理策:妥当な理由があれば適用除外できる。
解説 JIS Q 27001 では、規格本文(箇条4〜10)の要求事項はISMS構築のために必須であり、一つでも除外すると適合とは認められない。一方、附属書Aの管理策はリスクアセスメント 結果に基づき必要なものを選択 し、不要なものは適用宣言書(SoA)で理由を示して適用除外できる。したがって、要求事項は全て適用が必要、管理策は妥当な理由があれば適用除外できるとするイが正解である。
選択肢ごとの解説 ア. 誤り。要求事項は全て必要だが、管理策まで全て適用必須とする点が誤りである。イ. 正しい。要求事項は全て適用必須、附属書Aの管理策はリスクに応じて妥当な理由があれば適用除外できる。ウ. 誤り。要求事項を適用除外できるとする点が誤りで、要求事項は必須である。エ. 誤り。要求事項まで適用除外できるとする点が誤りである。情報セキュリティマネジメント試験 平成29年度秋期 午前 の過去問一覧 へ戻る・問2