令和4年秋期試験問題 午前Ⅰ 問21

JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。

  • USBメモリの使用を,定められた手順に従って許可していた。
  • 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
  • マルウェアスキャンでスパイウェアが検知され,駆除されていた。
  • リスクアセスメントを実施した後に,リスク受容基準を決めた。
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
解説
  • "資産の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施する"こととされているので問題ありません。
  • 関係当局との適切な連絡体制を維持し、"法が破られたと疑われる場合に、特定した情報セキュリティインシデントをいかにして時機を失せずに報告するかの手順を備える"こととされているので問題ありません。
  • "組織は、不適合が発生した場合、不適合の是正のための処置を取る"こととされているので問題ありません。
  • 正しい。リスク受容基準の決定時期が遅いので指摘事項に該当します。
    JIS Q 27001に基づくリスクマネジメントプロセスでは、リスクアセスメントを実施する前にリスク受容基準を確立することになっています。リスクアセスメントに含まれるリスク評価プロセスにおいて、リスク分析の結果とリスク受容基準を比較することになっているからです。

Pagetop