情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問25: ある企業が,自社が提供する Web システムのセキュリティについて,外部監査人による保証を受ける場合において,次の表の A〜D のうち,IT に係る保証業務の
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ
ある企業が,自社が提供する Web システムのセキュリティについて,外部監査人による保証を受ける場合において,次の表の A〜D のうち,IT に係る保証業務の "三当事者" のそれぞれに該当する者の適切な組合せはどれか。
| 保証業務の実施者 | Web システムのセキュリティに責任を負う者 | 保証報告書の想定利用者 |
|---|
| A | Web システム利用者 | 外部監査人 | 当該企業の経営者 |
| B | 外部監査人 | Web システム利用者 | 当該企業の経営者 |
| C | 外部監査人 | 当該企業の経営者 | Web システム利用者 |
| D | 当該企業の経営者 | 外部監査人 | Web システム利用者 |
問題本文
ある企業が,自社が提供する Web システムのセキュリティについて,外部監査人による保証を受ける場合において,次の表の A〜D のうち,IT に係る保証業務の "三当事者" のそれぞれに該当する者の適切な組合せはどれか。
解説
保証業務の三当事者は、保証業務の実施者(外部監査人)、対象に責任を負う者(当該企業の経営者)、保証報告書の想定利用者(Webシステム利用者)で構成される。この対応はCに一致しウが正解。実務では監査人が独立した立場で、責任者である経営者の主張を検証し、その結果を利用者に保証する三者の関係を理解することが、保証業務の信頼性の前提となる。
選択肢ごとの解説
- ア.Aは実施者をシステム利用者、責任者を外部監査人とするが、実施者は監査人で責任者は経営者であり役割が誤り。
- イ.Bは責任を負う者をシステム利用者としているが、対象に責任を負うのは経営者であり、この組合せは誤り。
- ウ.実施者=外部監査人、責任者=経営者、想定利用者=システム利用者という三当事者の対応が正しく、これが正解。
- エ.Dは実施者を経営者、責任者を外部監査人とするが実際は逆で、三当事者の役割を取り違えており誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ の過去問一覧へ戻る・問25