168 - パカーソン ◆MMQS1aoxrM 2022/03/26(土) 01:05:10 ID:vps3sgAy0
これは内部監査の実施者と目的に照らして考える必要がある問題ですね
たしかに挙げられた4つの選択肢では(マ)のインシデントが最も重大度が高いのでこれを選びたくなる気持ちはわかります
ですが、ISMS内部監査というのは組織の管理者(会社なら経営者)が、その組織の中でのルールの運用が正しいかを確かめるために行うものです
つまりインシデントがいくつか起こっていてもあらかじめ定められていた対処法の通りに解決されていればそれはまさにルールが正しく運用されているわけで、内部監査の対象とはなりません
直感的な説明をするなら、きちんと準備した通りに現場で対処できてるので偉い人に報告を上げる必要がない、となるでしょうか
一方(カ)はルールの策定過程の瑕疵であり、現場で解決するためのルールが間違って定められている可能性を示すものなので管理者の立場から見て問題となりますから報告対象(指摘事項)です
リスク受容基準をアセスメントの後でやることにしてしまうと、アセスメントで意外と多くのリスクが見つかったが
リスク対策に割くリソースが足りないからといってリスク受容基準をあるべき水準よりも下げて手の回る範囲での対策だけをやってしまうような問題が起き得ます
もちろんこれは受容できないリスクを放置するので問題です