情報セキュリティマネジメント平成30年秋期 午前問6
問6
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)では,組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち,適切なものはどれか。
- 承認された情報セキュリティリスク対応計画を基に,適用宣言書を作成する。
- 情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に,適用宣言書を作成する。
- 適用宣言書を作成後,その内容を基に情報セキュリティリスク対応の選択肢を選定する。
- 適用宣言書を作成後,その内容を基に情報セキュリティリスクを特定する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
適用宣言書とは、その組織が情報セキュリティマネジメントシステムに適用する管理策及びその目的を記述した文書です。JIS Q 27001:2014によれば、適用宣言書は、リスクアセスメントの結果を受けて情報セキュリティリスク対応のプロセスで作成することになっています。
- 手順が逆で、適用宣言書を基にリスク対応計画を策定します。
- 正しい。組織は必要な管理策を特定した後、それを附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証します。そして適用宣言書には次の事項を記載します。
- 必要な管理策及びそれらの管理策を含めた理由
- それらの管理策を実施しているか否か
- 附属書Aに規定する管理策を除外した理由
- 情報セキュリティリスク対応の選択肢の選定は、リスクアセスメントの結果を考慮して行うとされています。手順としては、①リスクアセスメント、②情報セキュリティリスク対応の選択肢の選定、③適用宣言書の作成、④情報セキュリティリスク対応計画の策定になります。
- リスクの特定はリスクアセスメントのプロセスです。適用宣言書の作成はリスクアセスメントの実施後に行います。