情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度秋期 午前 問37: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち,監査人が指
←情報セキュリティマネジメント試験 平成30年度秋期 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
選択肢
- ア.USB メモリの使用を,定められた手順に従って許可していた。
- イ.個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
- ウ.マルウェアスキャンでスパイウェアが検知され,駆除されていた。
- エ.リスクアセスメントを実施した後に,リスク受容基準を決めた。
正解
エ. リスクアセスメントを実施した後に,リスク受容基準を決めた。
解説
ISMS内部監査で指摘すべき不適合(要求事項どおりに運用されていない状況)を見抜く問題で、正解はエである。JIS Q 27001ではリスク受容基準をあらかじめ確立したうえでリスクアセスメントを実施することが求められており、アセスメントの後で受容基準を決めるのは手順が逆で不適合となる。ア・イ・ウは定められた手順や仕組みが正しく機能している例であり、指摘事項には当たらない。
選択肢ごとの解説
- ア.USBメモリの使用を定められた手順に従って許可しているのは規程どおりの運用であり、指摘事項ではない。
- イ.個人情報の誤廃棄事故を規定どおりに主務官庁へ報告しているのは適切な対応であり、指摘事項ではない。
- ウ.マルウェアスキャンでスパイウェアを検知し駆除しているのは対策が機能している例であり、指摘事項ではない。
- エ.リスク受容基準は事前に定めておくべきもので、リスクアセスメント実施後に決めるのは手順が逆であり不適合として指摘すべき。正しい。
情報セキュリティマネジメント試験 平成30年度秋期 午前 の過去問一覧へ戻る・問37