午前問2
組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)への適合を宣言するとき、要求事項及び管理策の適用要否の考え方として、適切なものはどれか。
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
JIS Q27001:2014(情報セキュリティマネジメントシステム−要求事項)において、組織がこの規格への適合を宣言する場合には、箇条4〜箇条10に規定するいかなる要求事項の除外も認められないとなっています。
よって、規定本文の箇条4〜10に規定された要求事項は"全て適用が必須である。"となります。
附属書Aは、管理策の見落としがないように附属書Aを参照することを求められていますが、すべての管理策を実施することは求められておらず、正当な理由があれば附属書Aの管理策を除外することができるので、"妥当な理由があれば適用除外できる"となります。
よって、規定本文の箇条4〜10に規定された要求事項は"全て適用が必須である。"となります。
附属書Aは、管理策の見落としがないように附属書Aを参照することを求められていますが、すべての管理策を実施することは求められておらず、正当な理由があれば附属書Aの管理策を除外することができるので、"妥当な理由があれば適用除外できる"となります。
よって正解はイとなります。