分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

マネジメントレビューとは、トップマネジメントによって定期的に行われるISMSの評論・再検討のことです。JIS Q 27001:2014では、マネジメントレビューにおいて考慮すべき事項として以下の6つを挙げています。

1. 前回までのマネジメントレビューの結果とった処置の状況
2. ISMSに関連する外部及び内部の課題の変化
3. 不適合及び是正処置、監視及び測定の結果、監査結果、情報セキュリティ目的の達成の傾向を含めた、情報セキュリティパフォーマンスに関するフィードバック
4. 利害関係者からのフィードバック
5. リスクアセスメントの結果及びリスク対応計画の状況
6. 継続的改善の機会

したがって適切な組合せは「ウ」になります。

情報セキュリティ目的は、情報セキュリティ方針の一部として確立し、首尾一貫して適用するものであるためレビューの対象にはなりません。マネジメントレビューにおいて考慮すべきは「情報セキュリティ目的の達成度合い」であり、情報セキュリティ目的自体ではありません。