JIS Q 27001:2014(情報セキュリティマネジメント−要求事項)では、組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。
適用宣言書の作成に関する記述のうち、適切なものはどれか。
ア | 承認された情報セキュリティリスク対応計画を基に、適用宣言書を作成する。 |
イ | 情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に、適用宣言書を作成する。 |
ウ | 適用宣言書を作成後、その内容を基に情報セキュリティリスク対応を選択肢を選定する。 |
エ | 適用宣言書を作成後、その内容を基に情報セキュリティリスクを特定する。 |
答え イ
【解説】
適用宣言書は「その組織のISMSに関連して適用する管理目的及び管理策を記述した文書」で、その作成方法は情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に、適用宣言書を作成する(イ)となってます。(ISMSの認定機関のホームページなどに書かれています。)
【キーワード】
・JIS Q 27001