情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問8: JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）において，情報セキュリティ目的をどのように達成するかについて計画するとき，“実

問題本文

JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）において，情報セキュリティ目的をどのように達成するかについて計画するとき，“実施事項”，“責任者”，“達成期限”のほかに，決定しなければならない事項として定められているものはどれか。

選択肢

• ア.“必要な資源”及び“結果の評価方法”
• イ.“必要な資源”及び“適用する管理策”
• ウ.“必要なプロセス”及び“結果の評価方法”
• エ.“必要なプロセス”及び“適用する管理策”

正解

ア. “必要な資源”及び“結果の評価方法”

解説

JIS Q 27001:2014の箇条6.2は、情報セキュリティ目的の達成計画として「何を実施するか（実施事項）」「必要な資源」「責任者」「達成期限」「結果の評価方法」の五つを決定するよう求めている。設問が挙げていない残りの二つは“必要な資源”と“結果の評価方法”であり、アが正解である。なお、適用する管理策は附属書Aやリスク対応計画で扱う事項で、ここでの達成計画の決定項目ではない。

選択肢ごとの解説

• ア.“必要な資源”と“結果の評価方法”は、規格6.2が達成計画として決定を求める残りの二項目に正確に一致する。
• イ.“必要な資源”は正しいが、“適用する管理策”は6.2の達成計画の決定項目ではないため誤り。
• ウ.“結果の評価方法”は正しいが、6.2では“必要なプロセス”ではなく“必要な資源”が求められるため誤り。
• エ.“必要なプロセス”も“適用する管理策”も6.2の達成計画の決定項目には含まれないため誤り。