ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報の機密性・完全性・可用性の3要素(情報セキュリティのCIAといいます)をバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。
JIS Q 27001:2014(情報セキュリティマネジメント-要求事項)において、トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。
| ア | 前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/内部監査の結果 |
| イ | 前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/発生した不適合及び是正処置の状況 |
| ウ | 前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況 | エ | トップマネジメントが設定した情報セキュリティ目的/内部監査の結果/発生した不適合及び是正処置の状況 |
答え:ウ
マネジメントレビューは、組織が実行した内部監査の結果や利害関係者からのフィードバックをもとに、組織のISMSが適切に運用されているかどうか、経営陣が判断する活動のことで、少なくとも年に1回定期的に実施しなければなりません。マネジメントレビューは、次の事項を考慮する必要があります。
- 前回までのマネジメントレビューの結果とった処置の状況
- ISMSに関連する外部及び内部監査の結果
- セキュリティ対策実行のフィードバック
