情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問25: システムの本番移行が失敗するリスクに対するコントロールを監査するときのチェックポイントはどれか。

問題本文

システムの本番移行が失敗するリスクに対するコントロールを監査するときのチェックポイントはどれか。

選択肢

• ア.システム運用段階で新システムの稼働状況がレビューされ，その結果についてシステム開発部門及び利用部門の責任者の承認が得られていること
• イ.システム開発段階で抽出された問題への対策が，次期システム改善計画に反映されていること
• ウ.システム企画段階で，システムの投資対効果が評価されていること
• エ.利用部門を含めた各部門の役割と責任を明確にした本番移行計画が作成されていること

正解

エ. 利用部門を含めた各部門の役割と責任を明確にした本番移行計画が作成されていること

解説

本番移行が失敗するリスクへのコントロール監査では、移行作業そのものが計画的かつ責任分担を明確にして行われるかを確認する。利用部門を含む各部門の役割と責任を定めた本番移行計画が作成されていることをチェックするエが適切。稼働後レビューや投資対効果、次期改善計画は移行前段階のリスク統制とは焦点がずれる。実務では移行手順・切戻し・体制の事前整備が成否を左右する。

選択肢ごとの解説

• ア.稼働状況のレビューと承認は移行後の運用段階の確認で、移行失敗そのものを防ぐ統制の着眼点ではない。
• イ.次期改善計画への反映は将来の改善に関する事項で、本番移行失敗リスクの統制とは焦点が異なる。
• ウ.投資対効果の評価は企画段階の妥当性確認であり、本番移行の失敗リスク統制の着眼点ではない。
• エ.各部門の役割と責任を明確にした本番移行計画の作成確認が移行失敗リスク統制の着眼点で正解。