HOME
Lv023

「Lv023」の記事一覧

アクセス制御（管理策8.3）において、「IDの共用」が原則禁止される理由はどれか。

誰がシステムを操作したか特定できないと、不正の抑止や事故原因の追究が不可能になる。

2026年3月13日

「審査証拠」を収集するための方法として、不適切なものはどれか。

審査証拠は検証可能な事実に基づかなければならず、客観性のない推測は証拠になり得ない。

2026年3月13日

是正処置のプロセスにおいて、最初に行うべき「不適合への反応」とは何か。

問題が発生した際は、まずその事態を収拾し、被害の拡大を防ぐ「修正」が優先される。

2026年3月13日

情報の機密保持または秘密保持に関する合意（管理策6.2）に含めるべき期間はどれか。

情報の性質によっては、退職後であっても機密を保持し続ける義務を課す必要がある。

2026年3月13日

情報セキュリティリスク対応において、管理策を附属書Aと「比較」する主な目的はどれか。

附属書Aは網羅的なリストであり、自社で選定した管理策に不足がないかチェックする「しおり」として機能す…

2026年3月13日

「内部監査」の実施結果をトップマネジメントに報告する主な目的はどれか。

監査結果は経営層にとって、ISMSが正しく機能しているかを知るための重要なフィードバックとなる。

2026年3月13日

組織が決定した「力量」を備えていることを実証するために保持すべき「文書化された情報」の例はどれか。

力量を証明するには、教育、訓練、経験を客観的に示す記録を保持しなければならない。

2026年3月13日

トップマネジメントがISMS方針を「組織の戦略的な方向性と整合」させるべき理由はどれか。

ISMSは事業活動を阻害するものではなく、事業目標の達成を安全に支える仕組みであるべきだからである。

2026年3月13日

情報セキュリティリスクアセスメントのプロセスにおいて、「リスク特定」の際に考慮すべき「脅威」の例はどれか。

脅威とは、資産に損害を与える可能性のあるあらゆる要因（偶発的・意図的問わず）を指す。

2026年3月13日

ISMSの適用範囲において、「組織の活動、製品およびサービス」を考慮する目的はどれか。

組織が提供するサービスや製品の性質によって、守るべき情報の種類やリスクが異なるため、これらを考慮す…

2026年3月13日