情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問25: 金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)”におけるアクセス管理に関して,内部統制のうちのITに係る業務処理統制に該当するものはど
←情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ
金融庁“財務報告に係るの評価及び監査に関する実施基準(令和元年)”におけるに関して,内部統制のうちのITに係る業務処理統制に該当するものはどれか。
問題本文
金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)”におけるアクセス管理に関して,内部統制のうちのITに係る業務処理統制に該当するものはどれか。
選択肢
- ア.組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。
- イ.組織としてアクセス権限の設定方針を定め,周知徹底を図る。
- ウ.組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。
- エ.組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。
正解
ウ. 組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。
解説
IT統制のうち業務処理統制とは、個々の業務システムが正確・網羅的に処理されるよう組み込まれた統制で、入力・処理・出力の妥当性確保が対象。アプリケーションに業務権限に応じた利用者ID・パスワード認証機能を組み込むことは、各システム固有の統制であり業務処理統制に該当する。よってウが正解。組織横断の規程・方針・教育は全般統制に分類される点と区別したい。
選択肢ごとの解説
- ア.組織として統一的なアクセス管理規程を定めることは全社的・基盤的なIT全般統制であり、業務処理統制ではないため誤り。
- イ.組織全体の権限設定方針を定め周知することはIT全般統制に当たり、個別システムの業務処理統制ではないため誤り。
- ウ.業務内容に応じた権限を付与した認証機能を各アプリに組み込む統制は業務処理統制に該当し、これが正解。
- エ.全利用者へのアクセス管理教育は組織的な基盤対策でIT全般統制に当たり、業務処理統制ではないため誤り。
情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ の過去問一覧へ戻る・問25