問題
テクノロジ系
問59 ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
選択肢
- アJIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。
- イJIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。
- ウ内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。
- エ不定期かつ抜き打ちでの実施を原則とする。
解説
正解:ア
概要
ISMSにおける内部監査の目的や実施方法について問う問題です。情報セキュリティマネジメントシステムが規格や組織の要求事項に適合しているか、また有効に機能しているかを確認する仕組みを理解しているかが問われています。
正解の理由
ISMSの内部監査では、JIS Q 27001の要求事項や組織が定めた規定に適合しているかを確認します。また、単に規格に合っているかだけでなく、ISMSが組織の中で有効に機能しているかも評価します。この内容を正しく説明しているのが選択肢アです。
各選択肢の解説
ア(〇): ISMSの内部監査では、JIS Q 27001の要求事項や組織が定めた規定に適合しているかを確認します。さらに、ISMS活動が組織内で有効に機能しているかも評価するため、この説明は正しい内容です。
イ(×): 内部監査の基準には、組織が定めた規定だけでなくJIS Q 27001などの規格要求事項も含まれます。規格を監査基準に含めないという説明は誤りです。
ウ(×): 内部監査の計画を立てる際には、前回の監査結果やリスクなどを考慮して監査プログラムを決定します。過去の結果を考慮しないという説明は誤りです。
エ(×): 内部監査は計画的かつ定期的に実施することが原則です。不定期で抜き打ちの実施を原則とするわけではないため、この説明は誤りです。
ポイント
ISMSの内部監査では、規格への適合性だけでなく、ISMSが有効に運用されているかを確認します。監査は計画的・定期的に実施する点を覚えておくことが重要です。