問題本文
組織が経営戦略と情報システム戦略に基づいて情報システムの企画・開発・運用・保守を行うとき,そのライフサイクルの中で効果的な情報システム投資及びリスク低減のためのコントロールを適切に行うための実践規範はどれか。
選択肢
- ア.コンピュータ不正アクセス対策基準
- イ.システム監査基準
- ウ.システム管理基準
- エ.情報システム安全対策基準
解説
正答はウ. 問題は経営戦略・情報システム戦略に基づき情報システムの企画・開発・運用・保守というライフサイクル全体で投資効果とリスク低減のためのコントロールを行う実践規範を問うており, これは経済産業省策定の「システム管理基準」に該当する. 同基準は情報システムの管理統制 (内部統制) のあるべき姿を示す指針で, IT統制やシステム監査の判断尺度として用いられ, 監査人側の規範である「システム監査基準」と表裏一体の関係にある. 管理基準=被監査側 (管理する側), 監査基準=監査人側 (チェックする側) と整理して覚える. 安全対策基準は安全性, 不正アクセス対策基準は侵入対策と用途が限定的.
選択肢ごとの解説
- ア.コンピュータ不正アクセス対策基準は, 経済産業省が定めた不正アクセスを予防・発見・復旧するための対策ガイドラインで, 侵入対策に特化したもの. 情報システム投資やライフサイクル全体の管理統制を包括的に定めるものではないため誤り. 適用範囲がセキュリティ対策に限られている.
- イ.システム監査基準は監査人 (システム監査人) が情報システムを監査する際に従うべき行動規範・実施基準で, 監査計画・実施・報告の手順を規定する. 企画・開発・運用・保守を行う側 (被監査部門) の実践規範ではなく監査側の規範であり, 問題文の趣旨に合致しないため不適切.
- ウ.システム管理基準は情報システムのライフサイクル全体 (企画・開発・運用・保守) における管理・統制・投資効果・リスク低減のための実践規範で, 問題文の条件に完全に合致する. システム監査基準と一対をなす被監査側の管理指針であり経済産業省策定で内部統制の柱となる.
- エ.情報システム安全対策基準は情報システムの設備や運用面での安全性 (火災・地震・停電・侵入等) 確保に焦点を当てた基準で, 物理的・技術的な安全対策が中心. 経営戦略に基づく投資全体の管理基準ではないので不適切. 災害対策やセキュリティに範囲が限定的で包括性に欠ける.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問1