叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

ISO/IEC 27001(JIS Q 27001):気になる情報セキュリティ用語

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。

情報の機密性・完全性・可用性の3要素(情報セキュリティのCIAといいます)をバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。

ISMSのPDCA

JIS Q 27001:2014(情報セキュリティマネジメント-要求事項)において、トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。

前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/内部監査の結果
前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/発生した不適合及び是正処置の状況
前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況
トップマネジメントが設定した情報セキュリティ目的/内部監査の結果/発生した不適合及び是正処置の状況
~「情報セキュリティマネジメント 平成31年度春期」より





答え:ウ
マネジメントレビューは、組織が実行した内部監査の結果や利害関係者からのフィードバックをもとに、組織のISMSが適切に運用されているかどうか、経営陣が判断する活動のことで、少なくとも年に1回定期的に実施しなければなりません。

マネジメントレビューは、次の事項を考慮する必要があります。

  • 前回までのマネジメントレビューの結果とった処置の状況
  • ISMSに関連する外部及び内部監査の結果
  • セキュリティ対策実行のフィードバック