組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)への適合を宣言するとき、要求事項及び管理策の適用要否の考え方として、適切なものはどれか。
規格本文の箇条4〜10に規定された要求事項 | 附属書A“管理目的及び管理策”に規定された管理策 | |
ア | 全て適用が必要である。 | 全て適用が必要である。 |
イ | 全て適用が必要である。 | 妥当な理由があれば適用除外できる。 |
ウ | 妥当な理由があれば適用除外できる。 | 全て適用が必要である。 |
エ | 妥当な理由があれば適用除外できる。 | 妥当な理由があれば適用除外できる。 |
答え イ
【解説】
JIS Q 27001の規格本文の箇条1に「箇条4−箇条10に規定するいかなる要求事項の除外も認められない」と書かれていて、附属書Aについては6.1.3項に「附属書Aに規定する管理策を除外した理由」と書かれており、妥当な理由があれば適用除外できるようになっています。
規格本文の箇条4〜10に規定された要求事項 | 附属書A“管理目的及び管理策”に規定された管理策 | |
イ | 全て適用が必要である。 | 妥当な理由があれば適用除外できる。 |
【キーワード】
・JIS Q 27001