平成29年秋期試験午前問題 問2

組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適切なものはどれか。

02.gif
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
JIS Q 27001では、組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められないとしています。箇条4~箇条10で規定されているのは、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善に関する汎用的な要求事項です。
したがって箇条4~箇条10の要求事項については「全ての適用が必要である」が適切です。

付属書Aは管理目的及び管理策の包括的なリストです。利用者は自組織の管理策を決定する際に、この付属書Aや他の管理策集から選定することができ、また、個々の要求に合わせて新しい管理策を導入することもできます。利用者には管理策の見落としがないように付属書Aを参照することが求められていますが、すべての管理策を実施することは要求されておらず、正当な理由があれば付属書Aの管理策を除外することができます。
したがって付属書Aの管理策については「妥当な理由があれば適用除外できる」が適切です。

適切な組合せである「イ」が正解です。

Pagetop