情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問1: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,ISMSに関するリーダーシップ及びコミットメントをトップマネジメント
←情報セキュリティマネジメント試験 平成29年度春期 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,ISMSに関するリーダーシップ及びコミットメントをトップマネジメントが実証する上で行う事項として挙げられているものはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,ISMSに関するリーダーシップ及びコミットメントをトップマネジメントが実証する上で行う事項として挙げられているものはどれか。
選択肢
- ア.ISMSの有効性に寄与するよう人々を指揮し,支援する。
- イ.ISMSを組織の他のプロセスと分けて運営する。
- ウ.情報セキュリティ方針に従う。
- エ.情報セキュリティリスク対応計画を策定する。
正解
ア. ISMSの有効性に寄与するよう人々を指揮し,支援する。
解説
本問はJIS Q 27001:2014が定める「リーダーシップ及びコミットメント」としてトップマネジメント(経営層)が果たすべき役割を問う。同規格では、経営層自らがISMSの方針を組織の戦略に整合させ、必要な資源を提供し、要員を指揮・支援してISMSの有効性を高めることを要求している。正解はアで、人々を指揮し支援することは経営層によるリーダーシップの実証そのものである。
選択肢ごとの解説
- ア.正しい。ISMSの有効性に寄与するよう人々を指揮し支援することは、規格が経営層のリーダーシップの実証事項として明記している内容である。
- イ.誤り。規格はISMSを組織の事業プロセスに統合することを求めており、他のプロセスから分離して運営することは逆である。
- ウ.誤り。情報セキュリティ方針に従うのは組織の全要員に課される責務であり、経営層のリーダーシップを実証する固有の事項ではない。
- エ.誤り。リスク対応計画の策定はリスクアセスメントを担う実務担当者の作業であり、経営層がリーダーシップを実証する事項として挙げられているものではない。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問1