Question

JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）に基づいて ISMS 内部監査を行った結果として判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきものはどれか。

Accepted Answer

リスクアセスメントを実施した後に，リスク受容基準を決めた。。ISMSではリスク受容基準を先に定めてからリスクアセスメントを実施するのが正しい順序です。基準を後から決めるエは手順が逆であり、不適合として指摘事項に記載すべきです。ア〜ウは規定どおりの適切な運用です。正解はエ。

Answer

USB メモリの使用を，定められた手順に従って許可していた。

Answer

個人情報の誤廃棄事故を主務官庁などに，規定されたとおりに報告していた。

Answer

マルウェアスキャンでスパイウェアが検知され，駆除されていた。

Answer

リスクアセスメントを実施した後に，リスク受容基準を決めた。