問題
問59
ISMSにおける内部監査に関する記述のうち、適切なものはどれか。
- JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、ISMS活動の組織に対する有効性も判断する。
- JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
- 内部監査の実施のためのプログラムを策定するときには、前回の内部監査の結果は考慮しない。
- 不定期かつ抜き打ちでの実施を原則とする。
[出典:ITパスポート試験 令和7年度 問59]
スポンサーリンク
正解
正解は「ア」です。
解説
ISMS(情報セキュリティマネジメントシステム)における内部監査では、単にJIS Q 27001の要求事項に適合しているかどうかをチェックするだけでなく、組織のISMS活動が本当に効果的かどうか、有効に機能しているかを評価することが求められます。
これにより、単なるルールの遵守状況ではなく、実質的な改善や運用の質も含めた視点で組織を評価することができます。たとえば、形式的にはすべての文書がそろっていても、実際には運用が形骸化していた場合、それを指摘して改善を促すことが重要です。
そのため、正しい選択肢は「JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、ISMS活動の組織に対する有効性も判断する」となります。
イ(組織自体が規定した要求事項を…):
JIS Q 27001はISMSの国際規格であり、その要求事項も含めて監査基準とする必要があります。規格を無視して組織独自の基準だけで監査するのは不適切です。
ウ(前回の内部監査の結果は考慮しない):
前回の監査結果を踏まえて継続的改善を図るのが内部監査の目的であり、結果を無視することは非効率です。
エ(不定期かつ抜き打ちでの実施を原則とする):
内部監査は計画的に行われるべきであり、不定期や抜き打ちでの実施は緊急時など特別なケースに限られます。
難易度
本問はISMSの内部監査の基本的な考え方を問う内容です。JIS Q 27001の理解があれば容易に解答できますが、規格を知らない場合は選択肢の違いが分かりにくいため、やや注意が必要です。内部監査の目的を理解しているかどうかがカギとなるため、頻出範囲として確実に押さえるべき問題です。
スポンサーリンク
用語補足
ISMS(Information Security Management System):
情報セキュリティを管理・運用するための枠組みです。機密性・完全性・可用性を保護するための組織の仕組みを構築します。
JIS Q 27001:
ISMSに関する日本産業規格であり、情報セキュリティマネジメントシステムの構築・運用・評価に関する要求事項が定められています。国際規格ISO/IEC 27001と同等の内容です。
対策
ISMSやJIS Q 27001の概要と内部監査の目的を正確に理解することが重要です。特に「有効性の判断」という視点は選択肢でよく問われるので、過去問を通じて繰り返し確認し、違いを見分けられるようにしましょう。
