マネジメント・システム監査誤り発見
第三者による認証審査に関する以下の記述で、誤っているものはどれか。
A.認証審査は、組織が適切なセキュリティ管理体制を構築・運用していることを第三者が確認するプロセスである。
✓ この記述は正しい。第三者認証は、独立した認証機関による確認で信頼性が確保される。
B.認証審査に合格した組織は、その後の監査は実施不要であり、認証の有効期間中は管理状況を維持するだけで十分である。← 正解
✓ 正解です。この記述が誤りで、正しくは認証取得後も内部監査と経営層レビューを継続し、セキュリティ水準を維持・向上させる必要があります。
C.認証機関は、認証取得後も定期的なサーベイランス審査を実施し、継続的な適合性を確認する。
✓ この記述は正しい。サーベイランス審査により、認証の有効性が継続的に検証される。
D.認証審査では、書類確認と現地確認の両面から、ISMSの有効性が評価される。
✓ この記述は正しい。書類審査で方針・手続きを、現地審査で実運用を確認する。