情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問1: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項
←情報セキュリティマネジメント試験 平成31年度春期 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレで考慮しなければならない事項としている組合せとして,適切なものはどれか。
| マネジメントレビューで考慮しなければならない事項 | | |
|---|
| ア | 前回までのマネジメントレビューの結果とった処置の状況 | トップマネジメントが設定した情報セキュリティ目的 | 内部監査の結果 |
| イ | 前回までのマネジメントレビューの結果とった処置の状況 | トップマネジメントが設定した情報セキュリティ目的 | 発生した不適合及び是正処置の状況 |
| ウ | 前回までのマネジメントレビューの結果とった処置の状況 | 内部監査の結果 | 発生した不適合及び是正処置の状況 |
| エ | トップマネジメントが設定した情報セキュリティ目的 | 内部監査の結果 | 発生した不適合及び是正処置の状況 |
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして,適切なものはどれか。
選択肢
- ア.前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/内部監査の結果
- イ.前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/発生した不適合及び是正処置の状況
- ウ.前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況
- エ.トップマネジメントが設定した情報セキュリティ目的/内部監査の結果/発生した不適合及び是正処置の状況
正解
ウ. 前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況
解説
マネジメントレビューはISMSが適切・妥当・有効に機能しているかをトップマネジメントが定期的に評価する活動で、JIS Q 27001:2014 の箇条9.3はレビュー時の考慮事項(インプット)を規定している。規格は「前回までのマネジメントレビューの結果とった処置の状況」「内部監査の結果」「不適合及び是正処置の状況」などをインプットとして列挙する一方、情報セキュリティ目的の設定そのものはレビューのインプットではないため、これら3つを組み合わせたウが適切である。
選択肢ごとの解説
- ア.「内部監査の結果」は正しいインプットだが、「トップマネジメントが設定した情報セキュリティ目的」はレビューで考慮すべきインプットには含まれないため誤り。
- イ.「不適合及び是正処置の状況」は正しいインプットだが、「情報セキュリティ目的」が含まれており組合せとして適切でない。
- ウ.「前回処置の状況」「内部監査の結果」「不適合及び是正処置の状況」はいずれも規格9.3が定めるレビューのインプットであり、正しい組合せである。
- エ.「内部監査の結果」「不適合及び是正処置の状況」は正しいが、「情報セキュリティ目的」が含まれるため適切でない。
情報セキュリティマネジメント試験 平成31年度春期 午前 の過去問一覧へ戻る・問1