マネジメント・システム監査誤り発見
情報セキュリティ監査における不適合事項の評価に関する以下の記述で、誤っているものはどれか。
A.重大な不適合とは、セキュリティ方針または手続きに対する著しい違反であり、組織のセキュリティに大きな影響をもたらす可能性がある。
✓ この記述は正しい。重大な不適合の定義として、セキュリティへの著しい影響を評価することが重要である。
B.軽微な不適合は、セキュリティ方針の軽度の違反であり、改善期限を設定せず指導のみで対応できる。← 正解
✓ 正解です。この記述が誤りで、正しくは軽微な不適合であっても改善期限を明示し、是正状況を追跡管理する必要があります。
C.不適合事項は、その原因を分析し、再発防止策を策定することが改善の実効性を高める。
✓ この記述は正しい。根本原因分析と再発防止策の策定が改善の質を確保する。
D.複数の同類の軽微な不適合がある場合は、それが潜在的な重大リスクを示す兆候として評価する必要がある。
✓ この記述は正しい。小さな不適合の集積は、組織のセキュリティ文化の弱さを示す重要な指標である。