マネジメント・システム監査応用問題
情報セキュリティマネジメントシステム(ISMS)の内部監査において、重要な財務情報を扱うシステムについて、アクセス制限ポリシーは策定されているが、実装後12ヶ月間一度も監査評価が実施されていないことが判明しました。この状況が続いた場合、最も起こりやすいセキュリティ上の問題はどれか。
A.ポリシーの内容が時間の経過とともに組織の実態と乖離し、実際には形骸化している可能性が高まる← 正解
✓ 正解です。定期的な監査評価がないと、人事異動によるアクセス権の残存、組織変化への対応の遅れなど、ポリシーと実装のズレが累積し、統制が有効に機能しなくなる可能性が高まります。
B.アクセス制限ポリシー自体が違法となり、組織は直ちに新しいポリシーを策定しなければならない
✗ ポリシーの監査未実施そのものが違法になるわけではありません。ただし、内部監査の定期実施はISMS要求事項であり、要求事項を満たしていない状態になります。
C.監査を実施しないだけで、ポリシーが正しく機能していれば問題は生じない
✗ 定期的な監査評価は、統制の有効性を確認し、環境変化への対応を促すために重要です。監査なしでポリシーの有効性を保証することはできません。
D.経営層への報告義務が生じるため、組織全体のセキュリティレベルが必ず低下する
✗ 監査未実施が直ちに経営層の義務報告事項になるわけではありませんが、ISMS要件不適合としては重大です。セキュリティレベル低下は監査有無よりも、統制の実装状況に左右されます。