選択肢
- ア.システム監査業務の品質を確保し,有効かつ効率的に監査業務を実施するための基準を定めたものである。
- イ.システム監査において,情報システムの企画・開発・運用・保守というライフサイクルの中で,リスクを低減するコントロールを適切に整備,運用するための基準を定めたものである。
- ウ.システム監査人が情報処理の現場での管理の適切性を判断するときの尺度として用いるための基準を定めたものである。
- エ.組織体が効果的な情報セキュリティマネジメント体制を構築し,適切なコントロールを整備して運用するための基準を定めたものである。
正解
ア. システム監査業務の品質を確保し,有効かつ効率的に監査業務を実施するための基準を定めたものである。
解説
システム監査基準は,システム監査人(監査主体側)の行動規範や監査業務の実施手順を定め,監査業務の品質確保と有効・効率的な実施を支援するための基準で,経済産業省が策定している. 監査人としての独立性・客観性・職業倫理・専門的能力,監査計画・実施・報告の各段階での手続き等を規定する. 関連文書として,システム管理基準は被監査側(情報システム管理側)がライフサイクル全般で実施すべき事項を整理した基準で監査人が判断尺度としても用いる. 情報セキュリティマネジメント基準はISMS関連の要件整理で,それぞれ対象範囲・利用主体・目的が異なる別の基準として整理する必要がある.
選択肢ごとの解説
- ア.正しい. システム監査基準はシステム監査業務の品質を確保し有効かつ効率的に監査業務を実施するための基準を定めたものであり,本問の説明に合致するため. 経済産業省が策定し,監査人の行動規範・監査手続き・倫理規範などを規定する監査人(監査主体)向けの基準文書として位置付けられる.
- イ.誤り. 情報システムのライフサイクル全般でリスクを低減するコントロールを適切に整備・運用するための基準はシステム管理基準の説明で,被監査主体(情報システム管理側)が遵守すべき事項を整理した基準である. 監査人の行動規範を定める基準ではなく,監査される側の管理基準として別役割の文書である.
- ウ.誤り. システム監査人が情報処理の現場の管理の適切性を判断する尺度として用いる基準はシステム管理基準に近い説明で,監査基準ではなく管理基準の役割を示している. 監査人の行動・手続きを定めるシステム監査基準とは性格が異なり,管理基準は判断対象側の基準として整理される.
- エ.誤り. 組織体の情報セキュリティマネジメント体制構築と運用基準は情報セキュリティマネジメント基準の説明で,ISMS関連の基準である. 情報セキュリティに特化した管理運用基準であり,システム監査人の行動規範を定めるシステム監査基準とは目的・対象範囲・利用主体が異なる別文書である.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問54