マネジメント・システム監査誤り発見
情報セキュリティマネジメントシステム(ISMS)に関する以下の記述で、誤っているものはどれか。
A.ISMSは、情報資産を保護するための方針、プロセス、手続きを統合的に管理する仕組みである。
✓ この記述は正しい。ISMSは情報セキュリティを組織的に管理するための統合的な仕組みである。
B.ISMSの構築には、経営層のコミットメントと全従業員の参画が必須である。
✓ この記述は正しい。ISMSの効果的な運用には、経営層の支持と全組織的な参画が不可欠である。
C.ISMSの監査は、外部監査機関による認証審査のみで十分であり、内部監査は不要である。← 正解
✓ 正解です。この記述が誤りで、正しくは外部監査と内部監査の両方を実施し、多角的に有効性を検証する必要があります。
D.ISMSでは、情報セキュリティリスクを定期的に評価し、改善活動を継続する必要がある。
✓ この記述は正しい。ISMSはPDCAサイクルにより継続的に改善される。