情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度春期 午前 問3: 情報セキュリティに係るリスクマネジメントが効果的に実施されるよう，リスクアセスメントに基づいた適切なコントロールの整備，運用状況を検証又は評価し，保証又は助言を

問題本文

情報セキュリティに係るリスクマネジメントが効果的に実施されるよう，リスクアセスメントに基づいた適切なコントロールの整備，運用状況を検証又は評価し，保証又は助言を与えるものであり，実施者に独立かつ専門的な立場が求められるものはどれか。

選択肢

• ア.コントロールセルフアセスメント（CSA）
• イ.情報セキュリティ監査
• ウ.情報セキュリティ対策ベンチマーク
• エ.ディジタルフォレンジックス

正解

イ. 情報セキュリティ監査

解説

コントロールの整備・運用状況を独立かつ専門的な立場から検証・評価し，保証や助言を与える活動は情報セキュリティ監査である。設問が示す「独立性」と「保証又は助言」という特徴は監査人の要件そのものであるため，イが正解である。

選択肢ごとの解説

• ア.CSA（コントロールセルフアセスメント）は業務担当者自身が自己点検する手法であり，独立した第三者による評価ではない。
• イ.独立・専門的な立場で統制を検証し保証または助言を与えるのが情報セキュリティ監査であり，正しい。
• ウ.情報セキュリティ対策ベンチマークは自組織の対策水準を他組織と比較する自己診断ツールであり，独立した保証行為ではない。
• エ.ディジタルフォレンジックスは不正アクセスなどの証拠を収集・保全・分析する技術であり，統制の検証・評価とは目的が異なる。