平成30年 秋期 情報セキュリティマネジメント 午前 問47

JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。

 ア  USBメモリの使用を、定められた手順に従って許可していた。
 イ  個人情報の後廃棄事故を主務官庁などに、規定されたとおりに報告していた。
 ウ  マルウェアスキャンでスパイウェアが検知され、駆除されていた。
 エ  リスクアセスメントを実施した後に、リスク受容基準を決めた。


答え エ


解説
リスクアセスメントは

  1. リスクの受容基準を決め、リスクの特定分析基準を決定する
  2. リスクを特定する
  3. リスクを分析する
  4. リスクを評価する
の順で行うので、リスクアセスメントを実施した後に、リスク受容基準を決める(エ)のは、リスクアセスメントのプロセスに誤りがあるのでISMSの内部監査では指摘事項に当たります。


キーワード
・リスクアセスメント

キーワードの解説
  • リスクアセスメント(risk assessment)
    組織や情報システムなどが内包している、リスクを洗い出し、そのリスクの大きさ(影響度)を評価し、そのリスクが許容できるかを判断するプロセスです。
    許容できない場合には、リスク防止やリスク回避といった対策を行い。許容できる場合にはリスクが顕在化したときの対処手順を作成します。

もっと、「リスクアセスメント」について調べてみよう。

戻る 一覧へ 次へ