情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問11: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,組織の管理下で働く人々が認識をもたなければならないとされているのは,
←情報セキュリティマネジメント試験 平成29年度春期 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,組織の管理下で働く人々が認識をもたなければならないとされているのは,“ISMSの有効性に対する自らの貢献”及び“ISMS要求事項に適合しないことの意味”と,もう一つはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,組織の管理下で働く人々が認識をもたなければならないとされているのは,“ISMSの有効性に対する自らの貢献”及び“ISMS要求事項に適合しないことの意味”と,もう一つはどれか。
選択肢
- ア.情報セキュリティ適用宣言書
- イ.情報セキュリティ内部監査結果
- ウ.情報セキュリティ方針
- エ.情報セキュリティリスク対応計画
解説
本問はJIS Q 27001:2014の「認識」の要求事項を問う。同規格は、組織の管理下で働く人々が、情報セキュリティ方針、ISMSの有効性への自らの貢献、要求事項に適合しないことの意味を認識しなければならないと定めている。正解はウで、全要員に周知すべき基本方針である情報セキュリティ方針が該当する。
選択肢ごとの解説
- ア.誤り。適用宣言書は採用した管理策を文書化したものであり、全要員が認識すべき項目としては規定されていない。
- イ.誤り。内部監査結果は経営層や管理者がレビューする情報であり、全要員が認識すべき項目として挙げられていない。
- ウ.正しい。情報セキュリティ方針は、規格が全要員に認識を求める三項目の一つである。
- エ.誤り。リスク対応計画は対策の実施計画であり、全要員が必ず認識すべき項目としては規定されていない。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問11