マネジメント・システム監査誤り発見
情報セキュリティ監査に関する以下の記述で、誤っているものはどれか。
A.内部監査は、組織の内部監査部門が実施し、セキュリティ方針の遵守状況を確認する。
✓ この記述は正しい。内部監査は組織内部で実施し、セキュリティ方針の遵守度を評価する重要な活動である。
B.監査員は、被監査部門の管理者と直接の指揮命令関係にあっても、客観性を保って監査を実施できる。← 正解
✓ 正解です。この記述が誤りで、正しくは監査員は被監査部門と独立した立場にあり、指揮命令関係があると客観性が損なわれます。
C.監査計画では、監査の目的、範囲、時期、対象部門を事前に明確にする必要がある。
✓ この記述は正しい。監査計画は詳細に策定し、関係者に周知する必要がある。
D.監査報告書には、指摘事項の改善期限や改善責任者を明記することが重要である。
✓ この記述は正しい。改善の実効性を高めるため、改善期限と責任者の明確化は必須である。