基本情報技術者試験 ap-2021r03a-a 午前 問57: 経済産業省“情報セキュリティ監査基準 実施基準ガイドライン（Ver1.0）”における，情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監

問題本文

経済産業省“情報セキュリティ監査基準 実施基準ガイドライン（Ver1.0）”における，情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査（保証型の監査）と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査（助言型の監査）の実施に関する記述のうち，適切なものはどれか。

選択肢

• ア.同じ監査対象に対して情報セキュリティ監査を実施する場合，保証型の監査から手がけ，保証が得られた後に助言型の監査に切り替えなければならない。
• イ.情報セキュリティ監査において，保証型の監査と助言型の監査は排他的であり，監査人はどちらで監査を実施するかを決定しなければならない。
• ウ.情報セキュリティ監査を保証型で実施するか助言型で実施するかは，監査要請者のニーズによって決定するのではなく，監査人の責任において決定する。
• エ.不特定多数の利害関係者の情報を取り扱う情報システムに対しては，保証型の監査を定期的に実施し，その結果を開示することが有用である。

正解

エ. 不特定多数の利害関係者の情報を取り扱う情報システムに対しては，保証型の監査を定期的に実施し，その結果を開示することが有用である。

解説

保証型の監査(対策の適切性に一定の保証を与える)と助言型の監査(改善の助言を行う)の使い分けを問う問題です。多数の利害関係者の情報を扱うシステムでは、対策が適切である旨の保証を定期的に得てその結果を外部へ開示することが、関係者の信頼確保に役立ちます。よって、保証型監査を定期実施し結果開示が有用だと述べたエが正解です。両者は排他的ではなく、どちらで実施するかは監査要請者のニーズに基づいて選択します。

選択肢ごとの解説

• ア.保証型から始めて保証後に助言型へ切り替えなければならないという順序の決まりはなく、目的に応じて選べばよいため誤り。
• イ.保証型と助言型は排他的ではなく、組み合わせて実施することもできるため、“排他的でどちらかに決めなければならない”は誤り。
• ウ.どちらの型で実施するかは監査要請者のニーズに基づいて決めるものであり、“要請者のニーズによらず監査人が決める”は誤り。
• エ.不特定多数の利害関係者の情報を扱うシステムでは、保証型監査を定期実施し結果を開示して信頼を高めることが有用であり、正しい。