ITパスポート過去問 令和7年度(2025年)問59
ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
選択肢
- ア:JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。
- イ:JIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。
- ウ:内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。
- エ:不定期かつ抜き打ちでの実施を原則とする。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSの内部監査は、JIS Q 27001の要求事項と、組織が定めた要求事項の両方を監査基準として用います。その監査基準への適合性を確認するだけでなく、ISMSが組織に対して有効に機能しているかどうかも判定します。したがって、適切なのは「ア」です。
Point
この問題は、ISMSにおける内部監査について、監査基準に何を含めるか、監査で何を判定するかを理解しているかを確認することがねらいです。JIS Q 27001で求められる内部監査の考え方(適合性と有効性)を押さえているかが問われます。
解くために必要な知識
この問題を解くには、ISMSにおける内部監査の位置付けと、JIS Q 27001で求められる内部監査の要点を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織の情報セキュリティを管理するための仕組みです。方針、目標、ルール、運用、見直しを含みます。 |
| 内部監査 | 組織が、自らのISMSが定めた要求事項に適合しているかを、計画的に確認し評価する活動です。 |
| JIS Q 27001 | ISMSの要求事項を定めた規格です(ISO/IEC 27001に対応する日本産業規格です)。 |
| 適合性 | 規格や社内規程など、定められた要求事項を満たしている度合いです。 |
| 有効性 | ISMSの活動が意図した結果(情報セキュリティ目的の達成など)につながっている度合いです。 |
| 監査基準 | 監査で合否判断をするために用いる要求事項やルールです。 |
JIS Q 27001における内部監査の要点
監査で評価する対象
-
監査基準への適合性
-
ISMSが有効に実施され、維持されているか
監査プログラムの考慮事項
-
前回までの監査結果
-
監査対象プロセスの重要性
-
監査の頻度、方法、責任、要求事項の定義
実施の原則
- 不定期の抜き打ちが原則ではなく、計画に基づいて実施することが原則です。
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 正誤 | 理由 |
|---|---|---|---|
| ア | JIS Q 27001と組織自体の要求事項の両方を基準とし、適合性だけでなく有効性も判定する | ○ | 監査基準に両方を含め、適合性と有効性を評価するためです。 |
| イ | 組織自体が規定した要求事項のみを監査基準とする | × | 監査基準にはJIS Q 27001の要求事項も含めます。 |
| ウ | 監査プログラム確立時に前回の内部監査結果を考慮しない | × | 監査プログラムは、過去の監査結果などを考慮して定めます。 |
| エ | 不定期かつ抜き打ちでの実施を原則とする | × | 通常は、定めた間隔で計画的に実施します。 |
選択肢ごとの解説
- ア:正解
内部監査では、JIS Q 27001の要求事項と、組織が定めた要求事項の両方を監査基準に含めます。また、要求事項への適合性に加えて、ISMSが有効に機能しているかも判定します。これに合致するため正解です。
- イ:不正解
内部監査の監査基準は、組織が定めた要求事項だけではなく、JIS Q 27001の要求事項も含めます。JIS Q 27001を監査基準から外している点が誤りです。
- ウ:不正解
監査プログラムを定めるときは、前回までの監査結果などを考慮します。前回の結果を考慮しないという記述は誤りです。
- エ:不正解
内部監査は、一般に、定めた間隔で計画的に実施します。不定期や抜き打ちを原則とする記述は誤りです。
まとめ
ISMSの内部監査は、JIS Q 27001の要求事項と、組織が定めた要求事項の両方を監査基準として用います。その監査基準への適合性を確認するだけでなく、ISMSが組織に対して有効に機能しているかどうかも判定します。したがって、適切なのは「ア」です。
テクノロジ系 > 技術要素 > セキュリティ
内部監査では、JIS Q 27001の要求事項と、組織が定めた要求事項の両方を監査基準に含めます。また、要求事項への適合性に加えて、ISMSが有効に機能しているかも判定します。これに合致するため正解です。
内部監査の監査基準は、組織が定めた要求事項だけではなく、JIS Q 27001の要求事項も含めます。JIS Q 27001を監査基準から外している点が誤りです。
監査プログラムを定めるときは、前回までの監査結果などを考慮します。前回の結果を考慮しないという記述は誤りです。
内部監査は、一般に、定めた間隔で計画的に実施します。不定期や抜き打ちを原則とする記述は誤りです。