平成30年秋期試験問題 午前問37
問37解説へ
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
- USBメモリの使用を,定められた手順に従って許可していた。
- 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
- マルウェアスキャンでスパイウェアが検知され,駆除されていた。
- リスクアセスメントを実施した後に,リスク受容基準を決めた。
正解 エ問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
中分類:システム監査
小分類:システム監査
広告
解説
JIS Q 27001に基づくリスクマネジメントの手順では、リスクアセスメントを実施する前にリスク受容基準を確立することになっています。なぜなら、リスクアセスメントに含まれるリスク評価プロセスにおいて、リスク分析の結果とリスク受容基準を比較することになっているからです。
したがって、リスクアセスメントの実施後にリスク受容基準を決めている「エ」が指摘事項になります。
広告