情報セキュリティ管理誤り発見
情報セキュリティの監査に関する以下の記述で、誤っているものはどれか。
A.セキュリティ監査は、組織のセキュリティ対策が有効に機能しているか客観的に評価するプロセスである。
✓ この記述は正しい。監査の独立性と客観性は、セキュリティ体制の効果性を評価するために必須である。
B.監査結果に基づき指摘事項が発見された場合、改善計画の策定と実施により組織のセキュリティ体制を強化すべきである。
✓ この記述は正しい。指摘事項への継続的な改善が、セキュリティ体制の成熟度向上を実現する。
C.セキュリティ監査の実施頻度は、リスク状況や過去の指摘内容に関わらず、毎年一度に固定するべきである。← 正解
✓ 正解です。この記述が誤りで、監査頻度はリスク評価や過去指摘に基づき、柔軟に調整されるべきです。
D.内部監査に加えて、第三者による独立した外部監査も、客観性と信頼性の観点から重要である。
✓ この記述は正しい。内部監査と外部監査の組み合わせにより、より客観的で信頼性の高い評価が可能になる。