情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度秋期 午前 問6: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)では,組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣
←情報セキュリティマネジメント試験 平成30年度秋期 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)では,組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち,適切なものはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)では,組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち,適切なものはどれか。
選択肢
- ア.承認された情報セキュリティリスク対応計画を基に,適用宣言書を作成する。
- イ.情報セキュリティリスク対応に必要な管理策を JIS Q 27001:2014 附属書 A と比較した結果を基に,適用宣言書を作成する。
- ウ.適用宣言書を作成後,その内容を基に情報セキュリティリスク対応の選択肢を選定する。
- エ.適用宣言書を作成後,その内容を基に情報セキュリティリスクを特定する。
正解
イ. 情報セキュリティリスク対応に必要な管理策を JIS Q 27001:2014 附属書 A と比較した結果を基に,適用宣言書を作成する。
解説
本問は ISMS における適用宣言書の作成手順を問うている。JIS Q 27001 では、リスク対応に必要な管理策を決定し、それを附属書 A の管理策と比較して見落としがないか検証した上で適用宣言書を作成すると規定しており、正解はイである。
選択肢ごとの解説
- ア.誤り。適用宣言書はリスク対応計画より前に、管理策と附属書 A の比較に基づいて作成される。
- イ.正しい。必要な管理策を附属書 A と比較し、その結果(採否と理由)を基に適用宣言書を作成する。
- ウ.誤り。リスク対応の選択肢の選定は適用宣言書の作成より前の段階で行う。
- エ.誤り。リスクの特定はリスクアセスメントの最初の段階で行うものであり、適用宣言書作成後ではない。
情報セキュリティマネジメント試験 平成30年度秋期 午前 の過去問一覧へ戻る・問6