ISMS における内部監査に関する記述のうち、適切なものはどれか。
- ア. JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく, ISMS 活動の組織に対する有効性も判定する。
- イ. JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
- ウ. 内部監査の実施のためのプログラムを確立するときには、前回の内部監査の結果は考慮しない。
- エ. 不定期かつ抜き打ちでの実施を原則とする。
【答え】ア
【解説】
ISMS(情報セキュリティマネジメントシステム)における内部監査は、単なるルール順守の確認だけでなく、組織の情報セキュリティ活動が効果的に機能しているか(有効性)も評価することが求められています。
各選択肢の解説
ア. JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく, ISMS 活動の組織に対する有効性も判定する。
→ ⭕ JIS Q 27001(ISMSの国際規格ISO/IEC 27001の日本語版)は、監査基準として、規格(JIS Q 27001)の要求事項と、組織が自ら定めた情報セキュリティに関するルール(内部文書など)の両方を対象にするように定めています。さらに、単なる適合性だけでなく、「有効性の評価」も監査の重要な目的とされます。
イ. JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
→JIS Q 27001では、「規格の要求事項」および「組織が規定した事項」の両方が監査基準となるとされています。
ウ. 内部監査の実施のためのプログラムを確立するときには、前回の内部監査の結果は考慮しない。
→前回の監査結果や過去の不適合事項・是正処置の状況などを考慮することが重要です。継続的改善の観点からも必須です。
エ. 不定期かつ抜き打ちでの実施を原則とする。
→監査は計画的に実施することが求められています。抜き打ち監査は原則ではなく、リスクベースで必要に応じて実施されることはありますが、基本は計画に基づいた定期的な実施です。
以上より、正解はア.となります。
情報セキュリティ管理
※少し細かいのでやや難問です。わからなければ勘で答えて、すぐ次の問題に行きましょう。
