情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問39: システム障害管理の監査で判明した状況のうち，監査人が監査報告書で報告すべき指摘事項はどれか。

問題本文

システム障害管理の監査で判明した状況のうち，監査人が監査報告書で報告すべき指摘事項はどれか。

選択肢

• ア.システム障害対応マニュアルが作成され，オペレータへの周知が図られている。
• イ.システム障害によってデータベースが被害を受けた場合を想定して，規程に従って，データのバックアップをとっている。
• ウ.システム障害の種類や発生箇所，影響度合いに関係なく，共通の連絡・報告ルートが定められている。
• エ.全てのシステム障害について，障害記録を残し，責任者の承認を得ることが定められている。

正解

ウ. システム障害の種類や発生箇所，影響度合いに関係なく，共通の連絡・報告ルートが定められている。

解説

本問は障害管理の監査で問題として指摘すべき状況を選ぶ問題である。障害は種類・発生箇所・影響度に応じて適切な連絡・報告ルートを設けるべきであり、それらに関係なく共通ルートのみとするのは迅速・適切な対応を妨げる不備であるため、指摘すべき正解はウである。

選択肢ごとの解説

• ア.障害対応マニュアルが作成・周知されているのは適切な状態であり、指摘事項にはあたらない。
• イ.規程に従ってバックアップを取得しているのは適切な状態であり、指摘事項にはあたらない。
• ウ.正しい。障害の重要度や影響度を考慮せず一律の連絡・報告ルートとするのは適切な対応を阻害する不備であり、指摘すべき事項である。
• エ.全障害について記録を残し責任者の承認を得る定めは適切な統制であり、指摘事項にはあたらない。