情報セキュリティマネジメント試験情報＆徹底解説

HOME»情報セキュリティマネジメント平成30年秋期»午前問37

情報セキュリティマネジメント平成30年秋期午前問37

問37

JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきものはどれか。

USBメモリの使用を，定められた手順に従って許可していた。
個人情報の誤廃棄事故を主務官庁などに，規定されたとおりに報告していた。
マルウェアスキャンでスパイウェアが検知され，駆除されていた。
リスクアセスメントを実施した後に，リスク受容基準を決めた。

[出題歴]
応用情報技術者 H28春期問60

分類

マネジメント系 » システム監査 » システム監査

正解

エ

解説

JIS Q 27001に基づくリスクマネジメントの手順では、リスクアセスメントを実施する前にリスク受容基準を確立することになっています。なぜなら、リスクアセスメントに含まれるリスク評価プロセスにおいて、リスク分析の結果とリスク受容基準を比較することになっているからです。

37.png/image-size:375×193

したがって、リスクアセスメントの実施後にリスク受容基準を決めている「エ」が指摘事項になります。

© 2015-2024　情報セキュリティマネジメント試験ドットコム　All Rights Reserved.