問題(令和7年 問59)
ISMSにおける内部監査に関する記述のうち、適切なものはどれか。
ア JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、 ISMS活動の組織に対する有効性も判定する。
イ JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
ウ 内部監査の実施のためのプログラムを確立するときには、前回の内部監査の結果は考慮しない。
エ 不定期かつ抜き打ちでの実施を原則とする。
解説(令和7年 問59)
この問題の特徴
- シラバス:シラ外
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:ISMSにおける内部監査
内部監査
組織のISMSの適合性と有効性を、あらかじめ定めた間隔(年1回以上)でチェックする活動です。適合性や有効性に問題点が見つかれば是正処置を求めます。
適合性:自ら定めたISMSに関する規定やルールおよびISO/IEC 27001の要求事項に決められた通りに、業務ができているか
有効性:現行のISMSのルールや文書が有効に実施されているか
ア JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、 ISMS活動の組織に対する有効性も判定する。
適切です。
イ JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
内部監査はISO/IEC 27001の要求事項に適合しているかチェックするので、「JIS Q 27001の要求事項ではなく」は不適切です。
ウ 内部監査の実施のためのプログラムを確立するときには、前回の内部監査の結果は考慮しない。
内部監査はISMSのPDCAサイクルの「C」にあたる工程なので、「前回の内部監査の結果は考慮しない。」は不適切です。
エ 不定期かつ抜き打ちでの実施を原則とする。
内部監査は、あらかじめ定めた間隔(年1回以上)でチェックする活動なので、「不定期かつ抜き打ちでの実施を原則」は不適切です。
よって、正解は ア です。
コメント