情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問25: 組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的として，“システム管理基準”に示されているものはどれか。

問題本文

組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的として，“システム管理基準”に示されているものはどれか。

選択肢

• ア.システム監査業務の品質を確保し，有効かつ効率的に監査を実施するため
• イ.情報システムが，組織体の目的を実現するように安全，有効かつ効率的に機能するため
• ウ.情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう，リスクマネジメントに基づくコントロールの整備・運用の状況を評価するため
• エ.リスクに対するコントロールをシステム監査人が評価し，保証又は助言を行い，IT ガバナンスの実現に寄与するため

正解

イ. 情報システムが，組織体の目的を実現するように安全，有効かつ効率的に機能するため

解説

システム管理基準は、情報システムにまつわるリスクへのコントロールを適切に整備・運用するための実践規範で、その目的は情報システムが組織体の目的を実現するよう安全・有効・効率的に機能することにある。監査業務の品質確保やシステム監査人による評価・保証はシステム監査基準側の目的であり混同しやすい。管理基準は管理者(被監査側)が整備運用の拠り所とするもの。実務ではITガバナンス実現の土台として活用される。

選択肢ごとの解説

• ア.監査業務の品質確保はシステム監査基準の目的であり、システム管理基準のものではないため誤り。
• イ.情報システムが安全・有効・効率的に機能することというシステム管理基準の目的どおりで正しい。
• ウ.コントロールの整備運用状況を評価するのは監査側の目的であり、管理基準の目的とは異なるため誤り。
• エ.監査人が評価し保証・助言を行うのはシステム監査基準の目的であり、ここでは誤り。