メインコンテンツへ
システム監査ISMS監査

情報セキュリティマネジメントシステム(ISMS)監査の目的として、最も適切なものはどれか。

ア.組織のIT機器を物理的に棚卸しし、資産台帳との一致を確認する資産管理活動である。
イ.情報セキュリティインシデントが発生した後に、原因を技術的に追跡するフォレンジック活動である。
ウ.従業員の業務時間をモニタリングし、生産性を評価するための労務管理活動である。
エ.ISMS(ISO/IEC 27001等)が組織内で適切に確立・実装・運用・維持・継続的改善されているかを評価し、有効性を検証する活動である。正解

解説

ISMS監査は「会社のセキュリティ仕組みが、ちゃんと回ってるか」を診る健康診断。仕組みの設計図(規程)と実態(運用)が一致しているか、改善が回っているかを点検します。

なぜ エ が正解か

エが正解。ISMS監査はISO/IEC 27001を中心とする情報セキュリティマネジメントシステムが適切に確立・実装・運用・維持・継続的改善(PDCA)されているかを評価する活動。内部監査と認証審査(第三者監査)があり、いずれも有効性検証が核心。

なぜ ア は間違いか

IT資産の物理棚卸はIT資産管理(ITAM)の活動。ISMS監査はマネジメントシステムの有効性評価が目的であり、物理棚卸そのものではない。

なぜ イ は間違いか

インシデント後の技術的追跡はフォレンジックや事後対応の領域。ISMS監査はマネジメントの仕組み全般の評価であり、特定インシデントの原因究明とは目的が異なる。

なぜ ウ は間違いか

労務管理ではない。ISMSは情報セキュリティ管理の枠組みであり、業務時間や生産性評価とは無関係。

出典: AI生成問題(学習用)