問題本文
情報システムのリスクに対するコントロールが適切に整備運用されていることを検証するための手段として,最も適切なものはどれか。
選択肢
- ア.BCP
- イ.ITIL
- ウ.ITガバナンス
- エ.システム監査
解説
正答はエ. 情報システムのリスクに対するコントロール (内部統制) が適切に整備・運用されていることを検証する手段はシステム監査である. システム監査人が独立した立場で監査計画→実施→報告→フォローアップのプロセスで検証する. 類似概念の整理=BCP (Business Continuity Plan, 事業継続計画), ITIL (ITサービス運用のベストプラクティス集), ITガバナンス (ITに関する組織統治の仕組みそのもの) はそれぞれ別概念で, 「検証手段」という観点からはシステム監査が最も適切.
選択肢ごとの解説
- ア.BCP (Business Continuity Plan, 事業継続計画) は災害や事故等の緊急事態でも事業を継続するための計画であり, リスクへの備え自体. コントロールが適切に整備運用されているかを検証する手段ではないため不適切である.
- イ.ITIL (Information Technology Infrastructure Library) はITサービス運用のベストプラクティスを体系化したガイドラインで, 運用の手本となる枠組み. コントロールの整備運用を検証する独立した手段ではないため誤り.
- ウ.ITガバナンスは組織のIT戦略・運営を統制する仕組みそのものであり, 統制対象 (組織体制・方針・プロセス) と検証手段は別物である. ガバナンス機能の整備運用を検証するのはシステム監査の役割であり誤り. ガバナンスは仕組み. 問題文の趣旨と合致しない不適切な選択肢である.
- エ.システム監査は情報システムに係るリスクへのコントロールが適切に整備・運用されているかを独立した立場で検証する代表的な手段で問題文に合致する正答. 監査計画から報告までの体系的プロセスで実施する重要な検証手段である. 問題文の条件と完全に整合する適切な選択肢である.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問40