応用情報技術者試験令和4年秋午前問58 解説付き過去問

問題

JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。

USBメモリの使用を、定められた手順に従って許可していた。

個人情報の誤廃棄事故を主務官庁などに、規定されたとおりに報告していた。

マルウェアスキャンでスパイウェアが検知され、駆除されていた。

リスクアセスメントを実施した後に、リスク受容基準を決めていた。

この問題では、JIS Q 27001:2014に基づく情報セキュリティマネジメントシステム（ISMS）内部監査の結果として、監査人が報告書に記載すべき指摘事項を選択することが問われています。

ISMS内部監査の役割
ISMSの内部監査は、組織の情報セキュリティマネジメントがJIS Q 27001の基準に従って効果的に運用されているかを評価することを目的としています。この評価は、組織のリスク管理プロセス、ポリシーの遵守、およびセキュリティ事故の対応策が適切に実施されているかどうかを含んでいます。
指摘事項の選定基準
監査報告書に記載すべき指摘事項は、JIS Q 27001:2014の要求に違反している事項、または改善が必要なプロセスです。監査では、セキュリティポリシーの遵守、リスク評価と対応策の適切性、事故の報告手順の遵守などが評価されます。適切に手続きが実施されている場合や、問題が速やかに対処されている場合は、通常、指摘事項とはされません。
リスクアセスメントとリスク受容基準の問題点
リスクアセスメントを行った後にリスク受容基準を設定するのは、本来の順序に反しています。リスク受容基準は、リスクアセスメントを始める前に定めるべきであり、この基準に基づいてリスクが評価され、必要な対策が決定されるべきです。したがって、この逆の実施はプロセスの誤りを示しており、監査報告書に記載すべき重要な指摘事項となります。

したがって、リスクアセスメントを行った後にリスク受容基準を設定していたという点が監査人による指摘事項として適切であり、正解とされる理由です。