平成30年 秋期 基本情報技術者 午前 問58

JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。

 ア  USBメモリの使用を、定められた手順に従って許可していた。
 イ  個人情報の誤廃棄事故を主務官庁などに、規定されたとおりに報告していた。
 ウ  マルウェアスキャンでスパイウェアが検知され、駆除されていた。
 エ  リスクアセスメントを実施した後に、リスク受容基準を決めていた。

答え エ

解説
リスクアセスメントは

  1. リスクの受容基準を決め、リスクの特定分析基準を決定する
  2. リスクを特定する
  3. リスクを分析する
  4. リスクを評価する
の順で行うので、リスクアセスメントを実施した後に、リスク受容基準を決める(エ)のは、リスクアセスメントのプロセスに誤りがあるのでISMSの内部監査では指摘事項に当たります。

キーワード
・リスクアセスメント

キーワードの解説

戻る 一覧へ 次へ