HOME
Lv028

「Lv028」の記事一覧

審査員が「客観的証拠」を記録する際に、最も重視すべき情報の正確性はどれか。

証拠は誰が見ても同じ結論に達することができるよう、具体的かつ事実に基づいたものでなければならない。

2026年3月13日

情報セキュリティ事象の評価と決定（管理策5.25）において、報告された事象を評価する目的はどれか。

すべての事象が事故（インシデント）とは限らないため、専門的な判断で選別し対応を効率化する。

2026年3月13日

特権的アクセス権の制限（管理策8.2）において、特権IDの使用を「通常業務」で使用しない理由はどれか。

高い権限は必要な時だけ使う「最小権限の原則」を適用することで、致命的なリスクを低減する。

2026年3月13日

「内部監査の結果」が「不適合」であった場合に、監査報告書に必ず含めるべき情報はどれか。

報告書は事実に基づいて書かれる必要があり、何がどのルールに違反しているかを明示しなければならない。

2026年3月13日

継続的改善において、ISMSの「適切性（Suitability）」をレビューするとは何を意味するか。

適切性とは、仕組みが組織の現状や規模に対してふさわしい状態であるかを指す。

2026年3月13日

ISMSにおける「文書化された情報」の保存および廃棄（箇条7.5.3）で考慮すべき点はどれか。

記録には保持期限があり、廃棄時には情報が漏洩しないような物理的・論理的処置が必要である。

2026年3月13日

情報セキュリティリスク対応計画において、管理策の「完了予定時期」を設定する目的はどれか。

期限を設けることで、リスクが放置される期間を限定し、着実な改善を図ることができる。

2026年3月13日

トップマネジメントがISMSにおいて「方針」をレビューするタイミングとして、適切なものはどれか。

方針は常に適切で有効である必要があるため、定期的かつ動的な見直しが求められる。

2026年3月13日

リスクアセスメントの「リスク評価」において、リスクを「受容」する際の判断基準は何と呼ばれるか。

分析されたリスクが組織にとって許容可能かどうかを判断するための物差しが受容基準である。

2026年3月13日

ISMSの適用範囲において、組織の「外部の課題」として特定すべき法規制の例はどれか。

外部の課題には、組織が遵守しなければならない国家レベルの法律や規制が含まれる。

2026年3月13日