問59の正解: アテクノロジ系/セキュリティ
ISMSにおける内部監査に関する記述のうち、適切なものはどれか。
この設問が問うていること
ISMS(情報セキュリティマネジメントシステム)の運用における内部監査の要件について問う設問です。
アJIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、 ISMS 活動の組織に対する有効性も判定する。正解
選択肢アの解説: 内部監査は、JIS Q 27001の規格要求事項や自社の規定ルールへの「適合性」を確認するだけでなく、その活動が自社のビジネスやセキュリティ向上に対して「有効に機能しているか(有効性)」も評価するため適切です。
イJIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
選択肢イの解説: 監査基準には自社ルールだけでなく、ISMSの規格要求事項も含まれるため不適切です。
ウ内部監査の実施のためのプログラムを確立するときには、前回の内部監査の結果は考慮しない。
選択肢ウの解説: 内部監査のプログラム(計画)を策定する際には、過去の監査結果や指摘事項の改善状況などを考慮して実施頻度や重点監査項目を決める必要があるため不適切です。
エ不定期かつ抜き打ちでの実施を原則とする。
選択肢エの解説: 内部監査はあらかじめスケジュールを定め、計画的かつ定期的に実施することが基本となるため不適切です。
総合解説
ISMS(JIS Q 27001規格)における「内部監査」とは、自組織の情報セキュリティマネジメントシステムが正常かつ有効に機能しているかを、組織内の独立した監査員が評価するプロセスです。評価にあたっては、規格や社内規程への「適合性」だけではなく、そのセキュリティ管理策が実態に合っており効果を上げているかという「有効性」の判定も求められます。また、過去の監査結果(選択肢c)の反映や、計画的な実施(選択肢d)も規格で定められています。したがって、正解はaです。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)