情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅰ 問21: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち,監査人が,
←情報処理安全確保支援士試験 令和4年度秋期 午前Ⅰ
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
選択肢
- ア.USB メモリの使用を,定められた手順に従って許可していた。
- イ.個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
- ウ.マルウェアスキャンでスパイウェアが検知され,駆除されていた。
- エ.リスクアセスメントを実施した後に,リスク受容基準を決めていた。
正解
エ. リスクアセスメントを実施した後に,リスク受容基準を決めていた。
解説
ISMS内部監査では、規格や規定からの逸脱・不適合を指摘事項として記載する。リスクアセスメントは、まず受容基準を定めた上で実施し評価する手順が求められるため、『アセスメント実施後に受容基準を決めていた』状態は手順が逆転した不適合に当たる。よってエが指摘事項として正しい。実務でも基準を先に定義しないと評価の一貫性が崩れ、対応の妥当性を判断できなくなる。
選択肢ごとの解説
- ア.USBメモリの使用を定めた手順どおり許可しており、規定遵守の状態で指摘事項に当たらず誤り。
- イ.誤廃棄事故を規定どおり報告しており、適切に運用された状態で指摘事項ではないため誤り。
- ウ.スパイウェアを検知し駆除済みで、対策が機能した結果であり指摘すべき不適合ではないため誤り。
- エ.受容基準をアセスメント後に決めるのは手順が逆で不適合に当たり、指摘事項として正しい。
情報処理安全確保支援士試験 令和4年度秋期 午前Ⅰ の過去問一覧へ戻る・問21