組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)への適合を宣言するとき、要求事項及び管理策の適用要否の考え方として、適切なものはどれか。
| 規格本文の箇条4〜10に規定された要求事項 | 附属書A“管理目的及び管理策”に規定された管理策 | |
| ア | 全て適用が必要である。 | 全て適用が必要である。 |
| イ | 全て適用が必要である。 | 妥当な理由があれば適用除外できる。 |
| ウ | 妥当な理由があれば適用除外できる。 | 全て適用が必要である。 |
| エ | 妥当な理由があれば適用除外できる。 | 妥当な理由があれば適用除外できる。 |
答え イ
【解説】
JIS Q 27001の規格本文の箇条1に「箇条4−箇条10に規定するいかなる要求事項の除外も認められない」と書かれていて、附属書Aについては6.1.3項に「附属書Aに規定する管理策を除外した理由」と書かれており、妥当な理由があれば適用除外できるようになっています。
| 規格本文の箇条4〜10に規定された要求事項 | 附属書A“管理目的及び管理策”に規定された管理策 | |
| イ | 全て適用が必要である。 | 妥当な理由があれば適用除外できる。 |
【キーワード】
・JIS Q 27001
- JIS Q 27001(情報セキュリティマネジメントシステム要求事項)
組織がISMS(Information Security Management System、情報セキュリティマネジメントシステム)を実践していることを監査・認証するときに、評価の基準となるものです。
監査・認証以外にも、組織がISMSを導入、維持、向上するときの参考資料としても利用できます。
もっと、「JIS Q 27001」について調べてみよう。
戻る
一覧へ
次へ