JIS Q 27001: 2014 (情報セキュリティマネジメントシステム−要求事項) に基づいて ISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア USBメモリの使用を、定められた手順に従って許可していた。
イ 個人情報の誤廃棄事故を主務官庁などに、規定されたとおりに報告していた。
ウ マルウェアスキャンでスパイウェアが検知され、駆除されていた。
エ リスクアセスメントを実施した後に、リスク受容基準を決めていた。
エ
ア 何ら問題のない状況あり、指摘事項ではない。
イ 何ら問題のない状況あり、指摘事項ではない。
ウ 何ら問題のない状況あり、指摘事項ではない。
エ 正しい。リスク受容基準を決めた後に、リスクアセスメントを実施しなければならず、指摘事項として監査報告書に記載すべきものである。
なお、リスクアセスメントは、現実に自社が持つ情報資産について、どのようなリスクが存在するのか、調査して洗い出し、そのインパクトを評価して、対応を決める一連の作業のことである。
| 問20 | 目次 | 問22 |