平成31年春期試験問題 午前問1
問1解説へ
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして,適切なものはどれか。
正解 ウ問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
中分類:セキュリティ
小分類:情報セキュリティ管理
広告
解説
マネジメントレビューとは、トップマネジメントによって定期的に行われるISMSの評論・再検討のことです。JIS Q 27001:2014では、マネジメントレビューにおいて考慮すべき事項として以下の6つを挙げています。
情報セキュリティ目的は、情報セキュリティ方針の一部として確立し、首尾一貫して適用するものであるためレビューの対象にはなりません。マネジメントレビューにおいて考慮すべきは「情報セキュリティ目的の達成度合い」であり、情報セキュリティ目的自体ではありません。
- 前回までのマネジメントレビューの結果とった処置の状況
- ISMSに関連する外部及び内部の課題の変化
- 不適合及び是正処置、監視及び測定の結果、監査結果、情報セキュリティ目的の達成の傾向を含めた、情報セキュリティパフォーマンスに関するフィードバック
- 利害関係者からのフィードバック
- リスクアセスメントの結果及びリスク対応計画の状況
- 継続的改善の機会
情報セキュリティ目的は、情報セキュリティ方針の一部として確立し、首尾一貫して適用するものであるためレビューの対象にはなりません。マネジメントレビューにおいて考慮すべきは「情報セキュリティ目的の達成度合い」であり、情報セキュリティ目的自体ではありません。
広告