応用情報技術者 2022年 秋期 午前2 問58
問題文
JIS Q 27001:2014 (情報セキュリティマネジメントシステム-要求事項)に基づいて ISMS 内部監査を行った結果として判明した状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
選択肢
ア:USBメモリの使用を、 定められた手順に従って許可していた。
イ:個人情報の誤廃棄事故を主務官庁などに、 規定されたとおりに報告していた。
ウ:マルウェアスキャンでスパイウェアが検知され、 駆除されていた。
エ:リスクアセスメントを実施した後に、リスク受容基準を決めていた。(正解)
JIS Q 27001:2014 に基づくISMS内部監査の指摘事項【午前2 解説】
要点まとめ
- 結論:監査報告書に記載すべき指摘事項は「リスクアセスメント後にリスク受容基準を決めていた」ことです。
- 根拠:JIS Q 27001:2014ではリスク受容基準はリスクアセスメント前に定める必要があり、順序の誤りは規格違反となります。
- 差がつくポイント:監査では手順の順守や規格の要求事項に沿った運用が重要で、順序の誤りは指摘対象となることを理解しましょう。
正解の理由
選択肢エは「リスクアセスメントを実施した後にリスク受容基準を決めていた」とありますが、JIS Q 27001:2014ではリスク受容基準はリスク評価の前に設定しなければなりません。リスク受容基準はリスクをどの程度まで許容するかの基準であり、これがなければ適切なリスク評価ができません。したがって、この順序の誤りは規格違反であり、監査人は指摘事項として報告書に記載すべきです。
よくある誤解
リスク受容基準はリスクアセスメントの結果を踏まえて決めると思い込みがちですが、実際は評価基準として事前に定める必要があります。
また、運用が適切なら指摘不要と誤解しがちですが、規格の要求順序違反は必ず指摘対象です。
また、運用が適切なら指摘不要と誤解しがちですが、規格の要求順序違反は必ず指摘対象です。
解法ステップ
- 問題文の「監査報告書に記載すべき指摘事項」を確認する。
- 各選択肢の内容がJIS Q 27001:2014の要求事項に合致しているか検証する。
- リスク受容基準の設定時期が規格でどう定められているかを確認する。
- 順序違反や規格違反があれば指摘事項として選ぶ。
- 他の選択肢は適切に運用されているため指摘不要と判断する。
選択肢別の誤答解説
- ア: USBメモリの使用が定められた手順に従って許可されているため、問題ありません。
- イ: 個人情報の誤廃棄事故を規定通りに報告しているため、指摘事項にはなりません。
- ウ: マルウェアスキャンでスパイウェアが検知・駆除されているため、適切な対応がなされています。
- エ: リスク受容基準をリスクアセスメント後に決めているため、規格違反で指摘事項です。
補足コラム
JIS Q 27001:2014のリスクマネジメントプロセスでは、リスク受容基準はリスク評価の前に設定し、どのリスクを許容するかを明確にします。これにより、リスク評価の結果を基に適切な対策を決定できます。内部監査ではこの順序の遵守が重要視され、違反があれば必ず指摘されます。
FAQ
Q: リスク受容基準はなぜリスクアセスメント前に設定するのですか?
A: リスク受容基準はリスクの許容範囲を示すため、評価基準として事前に定める必要があります。これがないと評価結果の判断基準が不明確になります。
A: リスク受容基準はリスクの許容範囲を示すため、評価基準として事前に定める必要があります。これがないと評価結果の判断基準が不明確になります。
Q: 監査で指摘事項になるのはどのような場合ですか?
A: 規格の要求事項に違反している、手順が守られていない、またはリスク管理の順序が誤っている場合に指摘事項となります。
A: 規格の要求事項に違反している、手順が守られていない、またはリスク管理の順序が誤っている場合に指摘事項となります。
関連キーワード: ISMS, 内部監査、リスクアセスメント、リスク受容基準、JIS Q 27001, 情報セキュリティ
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!