HOME»情報セキュリティマネジメント平成30年春期»午前問38
情報セキュリティマネジメント平成30年春期 午前問38
問38
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に準拠してISMSを運用している場合,内部監査について順守すべき要求事項はどれか。
- 監査員にはISMS認証機関が認定する研修の修了者を含まなければならない。
- 監査責任者は代表取締役が任命しなければならない。
- 監査範囲はJIS Q 27001に規定された管理策に限定しなければならない。
- 監査プログラムは前回までの監査結果を考慮しなければならない。
- [出題歴]
- 情報セキュマネ H28秋期 問37
分類
マネジメント系 » システム監査 » システム監査
正解
エ
解説
ISMSを運用している組織は、次の2点を確認することを目的として、定期的にISMSの現在の状況について内部監査を行う必要があります。
- ISMSに関して組織が規定した要求事項、およびJIS Q 27001の要求事項に適合しているか
- ISMSが有効に実施され、維持されているか
- 審査機関によって行われる維持審査・更新審査の説明です。内部監査人は基本的に組織内から選びますが、場合によっては外部の専門家を利用可能です。
- 内部監査人の客観性と公平性を確保するという記述はありますが、代表取締役が任命する旨の規定はありません。
- JIS Q 27001の管理策だけでなく、組織が独自に規定した要求事項及び関連プロセスも監査対象です。
- 正しい。JIS Q 27001:2014の要求事項では内部監査について、「監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない」としています。