情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問7: JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体
←情報セキュリティマネジメント試験 平成31年度春期 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。
問題本文
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。
選択肢
- ア.監査員
- イ.トップマネジメント
- ウ.利害関係者
- エ.リスク所有者
解説
JIS Q 27000:2014では、あるリスクを運用管理することについてアカウンタビリティ(説明責任)と権限をもつ人または主体を“リスク所有者(リスクオーナー)”と定義している。リスクアセスメントやリスク対応の妥当性を承認する役割を担う。よって、リスク所有者を挙げたエが正解である。
選択肢ごとの解説
- ア.監査員は監査を実施し客観的証拠を評価する人であり、リスクの運用管理の責任・権限をもつ主体ではない。
- イ.トップマネジメントは組織全体を指揮・管理する最高位の人々で、個々のリスクを運用管理する主体としての定義語ではない。
- ウ.利害関係者はある決定や活動に影響を与える・受ける人や組織を指し、リスクを運用管理する責任主体とは異なる。
- エ.リスクを運用管理するアカウンタビリティと権限をもつ主体はリスク所有者であり、定義に合致する。
情報セキュリティマネジメント試験 平成31年度春期 午前 の過去問一覧へ戻る・問7