本文へスキップ

技術士試験(情報工学部門)・情報技術者試験。ファーストマクロ。


Since 2016.4.19

令和4年度 秋期 高度情報技術者試験問題と解説

問21

JIS Q 27001: 2014 (情報セキュリティマネジメントシステム−要求事項) に基づいて ISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。

ア USBメモリの使用を、定められた手順に従って許可していた。

イ 個人情報の誤廃棄事故を主務官庁などに、規定されたとおりに報告していた。

ウ マルウェアスキャンでスパイウェアが検知され、駆除されていた。

エ リスクアセスメントを実施した後に、リスク受容基準を決めていた。


正解


解説

ア 何ら問題のない状況あり、指摘事項ではない。

イ 何ら問題のない状況あり、指摘事項ではない。

ウ 何ら問題のない状況あり、指摘事項ではない。

エ 正しい。リスク受容基準を決めた後に、リスクアセスメントを実施しなければならず、指摘事項として監査報告書に記載すべきものである。
なお、リスクアセスメントは、現実に自社が持つ情報資産について、どのようなリスクが存在するのか、調査して洗い出し、そのインパクトを評価して、対応を決める一連の作業のことである。

問20 目次 問22