令和7年試験問題 問59

問59解説へ
ISMSにおける内部監査に関する記述のうち,適切なものはどれか。

  • JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。
  • JIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。
  • 内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。
  • 不定期かつ抜き打ちでの実施を原則とする。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
広告
解説
  • 正しい。ISMSの内部監査は、ISMS(情報セキュリティマネジメントシステム)が次の2つの状況にあるかどうかを確認する目的で実施します。
    • JIS Q 27001の要求事項、組織自体が規定したISMSに関する要求事項に適合していること
    • ISMSが有効に実施され、維持されていること
    要求事項への適合性とともに、有効性も判定対象とされています。
  • ISMSに関して、JIS Q 27001の要求事項、組織自体が規定した要求事項の両方を監査対象とします。
  • 監査プログラムの策定では、関連するプロセスの重要性および前回までの監査の結果を考慮に入れなければなりません。例えば、前回の監査で見つかった不適合や改善点のフォローアップを含めます。
  • ISMSにおける内部監査は、事前に監査プログラムを立案し、定期的に実施することが原則とされています。「不定期・抜き打ち」は原則ではなく、特定のリスクが高まった場合などの補完的手段です。
広告

前の問題次の問題


Pagetop