基本情報技術者試験 ap-2022r04a-a 午前 問58: JIS Q 27001:2014（情報セキュリティマネジメントシステム−要求事項）に基づいて ISMS 内部監査を行った結果として判明した状況のうち，監査人が，

問題本文

JIS Q 27001:2014（情報セキュリティマネジメントシステム−要求事項）に基づいて ISMS 内部監査を行った結果として判明した状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

選択肢

• ア.USB メモリの使用を，定められた手順に従って許可していた。
• イ.個人情報の誤廃棄事故を主務官庁などに，規定されたとおりに報告していた。
• ウ.マルウェアスキャンでスパイウェアが検知され，駆除されていた。
• エ.リスクアセスメントを実施した後に，リスク受容基準を決めていた。

正解

エ. リスクアセスメントを実施した後に，リスク受容基準を決めていた。

解説

ISMS内部監査で“指摘事項”として記載すべき状況、すなわち要求事項に適合していない（不適合の）状況を選ぶ問題。JIS Q 27001ではリスク受容基準はリスクアセスメントを実施する前にあらかじめ定めておくべきものである。アセスメントの後で基準を決めると、結果に合わせて基準を恣意的に決められてしまい手順として不適切なため、これが指摘事項に該当しエが正解となる。

選択肢ごとの解説

• ア.定められた手順に従ってUSBメモリ使用を許可しているのは規定どおりの適切な運用であり、指摘事項ではないため誤り。
• イ.個人情報の誤廃棄事故を規定どおり主務官庁へ報告しているのは適切な対応であり、指摘事項ではないため誤り。
• ウ.スパイウェアを検知し駆除しているのはマルウェア対策が機能している適切な状態であり、指摘事項ではないため誤り。
• エ.リスク受容基準はリスクアセスメントの前に定めるべきであり、後から決めているのは手順上の不適合なので指摘事項として記載すべきで正しい。