167 - 一般名無し質問者 2022/03/25(金) 13:24:10 ID:mM1buMRs0
JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
(ヤ)USBメモリの使用を,定められた手順に従って許可していた。
(マ)個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
(オ)マルウェアスキャンでスパイウェアが検知され,駆除されていた。
(カ)リスクアセスメントを実施した後に,リスク受容基準を決めた。
正解は(カ)。リスクアセスメントを実施する最中リスク受容基準を決めるのに、後になって決めたので報告対象だろうでふ
しかし当職の直感としては(カ)はなんだかんだいって決めたのに、それより(マ)の規定通り報告したとはいえ個人情報を誤廃棄することこそ報告する必要があるような希ガしまふ
何故(カ)は報告すべきで、(マ)は対象ではないんでふか
そういうものだと覚えてくださいならそうことでも構いません