情報セキュリティマネジメント平成30年秋期 午前問2
問2
JIS Q 27000:2014(情報セキュリティマネジメントシステム−用語)における,トップマネジメントに関する記述として,適切なものはどれか。
- ISMS適用範囲から独立した立場であることが求められる。
- 企業の場合,ISMS適用範囲にかかわらず代表取締役でなければならない。
- 情報システム部門の長でなければならない。
- 組織を指揮し,管理する人々の集まりとして複数名で構成されていてもよい。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
エ
解説
JIS Q 27000:2014において、トップマネジメントは次のように定義されています。
『最高位で組織を指揮し,管理する個人又は人々の集まり』
注記1 トップマネジメントは,組織内で,権限を委譲し,資源を提供する力をもっている。
注記2 マネジメントシステムの適用範囲が組織の一部だけの場合,トップマネジメントとは,組織内のその一部を指揮し,管理する人をいう。
『最高位で組織を指揮し,管理する個人又は人々の集まり』
注記1 トップマネジメントは,組織内で,権限を委譲し,資源を提供する力をもっている。
注記2 マネジメントシステムの適用範囲が組織の一部だけの場合,トップマネジメントとは,組織内のその一部を指揮し,管理する人をいう。
- トップマネジメントは、組織を指揮するために、権限を委譲し、資源を提供する力も持たなければなりません。
- 情報セキュリティマネジメントシステムの適用範囲が組織の一部だけの場合、トップマネジメントとは、組織内のその一部を指揮し、管理する人になります。したがって、代表取締役に限定されません。
- トップマネジメントが誰になるかは、情報セキュリティマネジメントシステムの適用範囲によって異なります。適用範囲が情報システム部に留まるならば、情報システム部門の長がトップマネジメントになりますが、そうでない場合も考えられるため誤った説明です。
- 正しい。"個人又は人々の集まり"ですので、トップマネジメントが複数人で構成されていても問題ありません。