情報セキュリティマネジメント試験情報＆徹底解説

正解は『情報セキュリティリスク対応に必要な管理策をJISQ 27001:2014附属書Aと比較した結果を基に、適用宣言書を作成する。』となっておりこれは良いと思うのですが、『承認された情報セキュリティリスク対応計画を基に、適用宣言書を作成する。』も正解な気がします。

『リスクアセスメントで洗い出したリスクに対して、リスク対応で「リスク対応計画」を作成し、これが承認を得たところで適用宣言書の作成』ではないでしょうか？
承認を得ていない計画を勝手に適用宣言するのは正しくない気がするのですが…

平成30年秋期 問6
https://www.sg-siken.com/kakomon/30_aki/q6.html

JIS Q 27001:2014を見ると、下記の順番になっています。
このような流れで行うのだと覚えておけば、試験対策としては問題ないかと思います。

① リスクアセスメントの結果を基に適切なリスク対応の選択肢を選定する。
② ①を基に実施可能な管理策を決定する。
③ ②で決定した管理策を附属書Aと比較し相違がないか検証する。
④ ③の結果を含めて適用宣言書を作成する。
 ・必要な管理策及びそれらの管理策を含めた理由
 ・それらの管理策を実施しているか否か
 ・附属書Aに規定する管理策を除外した理由
⑤ ①～③を踏まえてリスク対応計画を作成する。
⑥ リスク対応計画及び残留しているリスクの受容についてリスク所有者の承認を得る。

>承認を得ていない計画を勝手に適用宣言するのは正しくない気がするのですが…
「リスク対応計画」と「管理策」の概念を混同しているようです。

●管理策…情報セキュリティリスクを低減・回避・移転・受容するための具体的な手段（技術的・組織的対策）のことで、リスクアセスメント後、対応方針に基づいて附属書Aに列挙された項目から選定することになります。
●適用宣言書…附属書Aに記載された管理策について、組織がどの管理策を適用するか、しないか、その理由を明示した文書のことです。
●リスク対応計画…選定した管理策を、誰が・いつ・どのように実施するかを記述した文書です。
管理策の選定後に、それを実施するために作成されるものです。

JIS Q 27001で定義されている順序は、次の通りになります。
管理策の選定 → 適用宣言書の作成 → リスク対応計画の策定 → 承認 → 実施

momochan様
ご教授ありがとうございます！
JISQ27001本体を確認していなかった自分を恥じる思いです…