問題本文
"経営戦略に沿って効果的な情報システム戦略を立案し,その戦略に基づき,効果的な情報システム投資のための,またリスクを低減するためのコントロールを適切に整備・運用するための実践規範"はどれか。
選択肢
- ア.システム監査基準
- イ.システム管理基準
- ウ.情報セキュリティ監査基準
- エ.情報セキュリティ管理基準
解説
経済産業省が策定したIT関連の基準群を区別する。①システム管理基準=経営戦略に沿った情報システム戦略の立案・運用の実践規範(本問の正解)。②システム監査基準=システム監査人が遵守すべき行為規範。③情報セキュリティ管理基準=ISMS構築・運用の規範。④情報セキュリティ監査基準=セキュリティ監査人の行為規範。問題文の「経営戦略→情報システム戦略→効果的投資・リスク低減のコントロール整備運用」というキーワードはシステム管理基準の定義そのもの。
選択肢ごとの解説
- ア.不正解。システム監査基準はシステム監査人が遵守すべき行為規範であり、被監査側のコントロール整備・運用そのものを規定するものではない。役割が監査側か被監査側かで使い分ける。
- イ.正解。システム管理基準は経営戦略に整合した情報システム戦略の立案からコントロール整備・運用までの実践規範。経営戦略と情報戦略を結び、効果的IT投資・リスク低減の指針を提供する基準。
- ウ.不正解。情報セキュリティ監査基準はセキュリティ監査の実施基準であり、監査人の行為規範。情報システム戦略全体の立案・運用規範ではなく、対象範囲が異なる。
- エ.不正解。情報セキュリティ管理基準はISMS(JIS Q 27001相当)の実践規範。範囲は情報セキュリティに限定され、情報システム戦略全体ではない点で本問の問いと合わない。
ITパスポート 2011年 (平成23年 特別) の過去問一覧へ戻る・問6