Question

JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）に基づいてISMS内部監査を行った結果として判明した状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

Accepted Answer

リスクアセスメントを実施した後に，リスク受容基準を決めていた。。リスク受容基準はリスクアセスメントを実施する前に確立しておくべきものである。アセスメント後に基準を決めるのは要求事項に反する不適合であり，指摘事項として記載すべきである。他の選択肢は規定どおりに運用されている。

Answer

USBメモリの使用を，定められた手順に従って許可していた。

Answer

個人情報の誤廃棄事故を主務官庁などに，規定されたとおりに報告していた。

Answer

マルウェアスキャンでスパイウェアが検知され，駆除されていた。

Answer

リスクアセスメントを実施した後に，リスク受容基準を決めていた。