※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A. JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、ISMS活動の組織に対する有効性も判定する。」です。
ISMS(情報セキュリティマネジメントシステム)における内部監査では、単に規格への適合だけでなく、組織における実際の有効性も評価されます。
この記事では、ITパスポート試験(令和7年度)で出題された過去問の第4問「ISMSの内部監査」について、試験対策の観点からわかりやすく解説します。
ISMS内部監査の目的
内部監査=規格適合性+活動有効性の評価
ISMSの内部監査は、組織が定めた情報セキュリティ方針やJIS Q 27001の要求事項に沿っているかを確認するだけでなく、実際に情報セキュリティ活動が効果的に運用されているかも判定します。このプロセスにより、改善点を見つけ、継続的改善(PDCAサイクル)を支援します。
他の選択肢との違い
- 選択肢B:監査基準は規格要求事項と組織要求事項の両方を含む必要がある
- 選択肢C:前回の内部監査結果は次回監査計画の参考として必ず考慮する
- 選択肢D:内部監査は計画的に実施し、抜き打ちは原則ではない
正しい理解は、計画的かつ規格要求に沿った監査を通じて、活動の有効性も評価することです。
問われているポイント
この問題では、ISMS内部監査の目的や監査基準の範囲を正しく理解しているかが問われています。
適合性だけでなく有効性評価までが監査の重要な要素であることを押さえましょう。
気を付けてほしい点(勘違いしやすいポイント)
- 内部監査=不定期・抜き打ちではない、計画的に実施
- 監査基準は規格+組織要求事項で決定される
補足
ITパスポート試験では、ISMSの規格要求や監査プロセスの理解を問う問題が出題されます。
ITパスポート試験での出題パターン
テクノロジ系では、ISMSの運用管理や内部監査の役割を理解しているかが問われます。
特にJIS Q 27001の要求事項と組織要求事項の両方に基づく監査を理解することが重要です。
この知識が使われている問題
まとめ
- ISMS内部監査は規格適合性と活動有効性の両方を評価する
- 計画的な実施と前回監査結果の活用が重要