システム監査(全60問中7問目)

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。

出典:平成30年秋期 問58

  • USBメモリの使用を,定められた手順に従って許可していた。
  • 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
  • マルウェアスキャンでスパイウェアが検知され,駆除されていた。
  • リスクアセスメントを実施した後に,リスク受容基準を決めた。
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
JIS Q 27001に基づくリスクマネジメントの手順では、リスクアセスメントを実施する前にリスク受容基準を確立することになっています。なぜなら、リスクアセスメントに含まれるリスク評価プロセスにおいて、リスク分析の結果とリスク受容基準を比較することになっているからです。
58.gif
したがって、リスクアセスメントの実施後にリスク受容基準を決めている「エ」が指摘事項になります。

Pagetop