ITパスポート試験
令和7年 第59問
問59
ISMSにおける内部監査に関する記述のうち、適切なものはどれか。
| JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、ISMS活動の組織に対する有効性も判断する。 | |
| JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。 | |
| 内部監査の実施のためのプログラムを策定するときには、前回の内部監査の結果は考慮しない。 | |
| 不定期かつ抜き打ちでの実施を原則とする。 |
(令和7年 ITパスポート試験 第59問 テクノロジ系/セキュリティ)
解説
(ア)JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、ISMS活動の組織に対する有効性も判断する。
この問題の正解率:63.8%(高い)
この問題の正解率:63.8%(高い)
- (ア) は、正解です。ISMSの内部監査では、「国際規格(JIS Q 27001)」と「自社が定めたルール(組織独自の規定)」の両方への適合性だけでなく、そのISMS活動が実際に効果を発揮しているか(有効性)も評価対象です。
- (イ) 国際規格(JIS Q 27001)も必ず監査基準としなければなりません。独自規定だけでは不十分です。
- (ウ) 前回の監査結果を踏まえて計画・改善することがISMS監査の基本です。
- (エ) ISMS監査は計画的に実施するのが原則です。不定期・抜き打ちは監査の主旨と異なります。
【用語の説明】
ISMS(Information Security Management System):
情報セキュリティに関するマネジメントの国際的な枠組み。
JIS Q 27001:
ISMSの日本国内における国際標準規格。
有効性の判断:
単なるルール順守だけでなく、「運用が本当に効果を上げているか」を見ること。
【間違いやすいポイント】
ISMS監査は「ルール通りにやっているか」だけでなく、「本当に効果を発揮しているか」も評価する点に注意。
選択中のリスト
令和7年テクノロジ系過去問一覧