問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
選択肢
- ア.USBメモリの使用を,定められた手順に従って許可していた。
- イ.個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
- ウ.マルウェアスキャンでスパイウェアが検知され,駆除されていた。
- エ.リスクアセスメントを実施した後に,リスク受容基準を決めた。
正解
エ. リスクアセスメントを実施した後に,リスク受容基準を決めた。
解説
ISMS では、リスクアセスメントを行う前にリスク受容基準を定めるのが原則です。アセスメント後に受容基準を決めると、判断の物差しが変わってしまうため監査指摘事項となります。エが正解。
選択肢ごとの解説
- ア.定められた手順に従って USB メモリ使用を許可している運用は規定どおりで、指摘事項にはなりません。
- イ.規定どおりに事故報告を行っているのは適合状態であり、指摘対象ではありません。
- ウ.マルウェアスキャンで検出・駆除されているのは適切な運用結果で、指摘事項とはなりません。
- エ.アセスメントの後に受容基準を決めるのは順序逆転で、ISMS 要求事項に反する典型的指摘事項です。正解です。
基本情報技術者試験 平成30年度 秋期 午前 の過去問一覧へ戻る・問58