平成31年春期試験問題 午前問1

JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして,適切なものはどれか。

01.png
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
マネジメントレビューとは、トップマネジメントによって定期的に行われるISMSの評論・再検討のことです。JIS Q 27001:2014では、マネジメントレビューにおいて考慮すべき事項として以下の6つを挙げています。
  1. 前回までのマネジメントレビューの結果とった処置の状況
  2. ISMSに関連する外部及び内部の課題の変化
  3. 不適合及び是正処置、監視及び測定の結果、監査結果、情報セキュリティ目的の達成の傾向を含めた、情報セキュリティパフォーマンスに関するフィードバック
  4. 利害関係者からのフィードバック
  5. リスクアセスメントの結果及びリスク対応計画の状況
  6. 継続的改善の機会
したがって適切な組合せは「ウ」になります。

情報セキュリティ目的は、情報セキュリティ方針の一部として確立し、首尾一貫して適用するものであるためレビューの対象にはなりません。マネジメントレビューにおいて考慮すべきは「情報セキュリティ目的の達成度合い」であり、情報セキュリティ目的自体ではありません。

Pagetop