JISQ27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア USBメモリの使用を,定められた手順に従って許可していた。
イ 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
ウ マルウェアスキャンでスパイウェアが検知され,駆除されていた。
エ リスクアセスメントを実施した後に,リスク受容基準を決めた。
解説を読む
正解:エ
解説:
情報セキュリティに於ける監査での指摘事項は「是正されるべき事柄」と解釈すると良いと思います。リスクアセスメントは予想されるリスクに対して特定、分析、評価を加えることですがどこまでのリスクを受容するかの基準がなければ適切な評価はできません。
ア.正しい手順に基づく使用ですので指摘事項には当たりません。
イ.規定通りの報告なので指摘事項には当たりません。
ウ.適切に駆除されているので指摘事項には当たりません。
エ.リスク受容の基準に従ってリスクアセスメントを実施するべきなので指摘事項に相当します。
解説を閉じる
コメント