ITパスポート試験 ITパスポート 2014年 (平成26年 秋期)83: 社内のISMS活動の一環として,サーバのセキュリティについて監査を行うことになった。最初に実施することとして,適切なものはどれか。

ITパスポート 2014年 (平成26年 秋期)
Q 8383 / 84
社内のISMS活動の一環として,サーバのセキュリティについて監査を行うことになった。最初に実施することとして,適切なものはどれか。
この問の正解率:59.66%(823件)

解説

ITパスポート 2014年 (平成26年 秋期) 問83「社内のISMS活動の一環として,サーバのセキュリティについて監査を行うことになっ…」の正解と解説です。ITパスポート試験の「マネジメント系」分野の過去問で、これまでの受験者の正答率は約60%です。

正解

. 監査の計画書を作成する。

正答率 59.7%(823人中 491人が正解)

問題の解説

ISMS活動の一環としてサーバセキュリティ監査を実施する場合,最初に行うべきは監査計画書の作成である. 監査計画書では,対象範囲・目的・基準・スケジュール・体制・手法等を明確化し,監査全体の進め方を整理する役割を持つ. これがないまま設定見直しや脆弱性検査ツールを使った具体作業に進むと,網羅性や独立性が確保できず監査として体をなさない. 計画→予備調査→本調査→評価→報告→フォローアップという監査標準フローを踏まえると,「最初は計画書作成」が唯一の正解となる. 監査の手順の基本を押さえる頻出問題である.

選択肢ごとの解説

  • 正解. ISMS活動の一環としてサーバセキュリティ監査を行う場合,最初に実施すべきは監査の計画書作成である. 監査範囲・目的・基準・スケジュール・体制等を明確化することで,以降の予備調査・本調査・評価・報告がスムーズに進む. システム監査基準でも計画策定が最上流の工程として位置付けられている.
  • 誤り. サーバのセキュリティ設定見直しは,被監査側(運用部門等)が行う改善活動であり,監査人が監査の最初に行う活動ではない. 監査人は独立した立場で評価・指摘を行う立場であり,監査対象の設定変更は監査の対象となる活動である. 監査と改善実施の役割を明確に区別する.
  • 誤り. 全サーバの監査用ログの所在確認は,予備調査(監査対象の状況把握)等の段階で行う作業であり,監査の最初の活動ではない. その前に監査計画書を作成して何のために何をどう監査するかを明確化することが必要となる. 計画なしの作業着手は監査として不適切である.
  • 誤り. 脆弱性検査ツールを利用したサーバ脆弱性確認は,本調査(具体的な監査作業)の中で実施することはあるが,監査全体の最初に行う活動ではない. その前に計画書で対象・基準・手法を明確化しておくことが必要であり,計画段階を飛ばしてツール検査から入るのは順序が不適切.

ITパスポート 2014年 (平成26年 秋期) の過去問一覧に戻る・問83

ITパスポート試験 の iOS アプリ版

アプリ版なら、よりスムーズに動作し、
スワイプで問題遷移ができます。

ITパスポート試験 合格.dev を App Store でダウンロード