問題
JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
選択肢
- 1USBメモリの使用を、定められた手順に従って許可していた。
- 2個人情報の誤廃棄事故を主管部門などに、規定されたとおりに報告していた。
- 3マルウェアスキャンでスパイウェアが検知され、駆除されていた。
- 4リスクアセスメントを実施した後に、リスク受容基準を決めた。
正解
4. リスクアセスメントを実施した後に、リスク受容基準を決めた。
詳しい解説を見る解説を閉じる
解説
ISMSではリスク受容基準を含むリスク評価基準を先に定めたうえでリスクアセスメントを実施する必要があります。エは順序が逆(アセスメント後に受容基準を決定)で要求事項に適合していないため、監査人が指摘すべき事項です。したがって正解はエです。ア・イ・ウはいずれも定められた手順・規定どおりに適切に運用されており、指摘事項には当たりません。(出典: 平成30年度 秋期 基本情報技術者試験 午前 問58)
一問一答
科目A 180問+科目B 60問