科目A問59
ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
| JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。 | |
| JIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。 | |
| 内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。 | |
| 不定期かつ抜き打ちでの実施を原則とする。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
ISMS(Information Security Management System)の内部監査は、JIS Q 27001および組織が定めた要求事項に対して、適合しているかだけでなく、ISMSが有効に実施・維持されているかを確認する活動です。単なる規程遵守の確認ではなく、運用の有効性や改善の必要性も評価対象となります。
| ア. | JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。 |
| ISMS内部監査では、規格要求への適合性と運用の有効性の両方を評価します。 | |
| イ. | JIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。 |
| 監査基準はJIS Q 27001と組織独自の要求事項の双方を用います。 | |
| ウ. | 内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。 |
| 監査プログラムの策定では、過去の監査結果や是正状況を考慮します。 | |
| エ. | 不定期かつ抜き打ちでの実施を原則とする。 |
| 内部監査は計画に基づき定期的に実施することが原則です。 |