情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問40: 経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)”における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監
←情報セキュリティマネジメント試験 平成31年度春期 午前
経済産業省“基準 実施基準ガイドライン(Ver1.0)”における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。
問題本文
経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)”における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。
選択肢
- ア.同じ監査対象に対して情報セキュリティ監査を実施する場合,保証型の監査から手掛け,保証が得られた後に助言型の監査に切り替えなければならない。
- イ.情報セキュリティ監査において,保証型の監査と助言型の監査は排他的であり,監査人はどちらで監査を実施するかを決定しなければならない。
- ウ.情報セキュリティ監査を保証型で実施するか助言型で実施するかは,監査要請者のニーズによって決定するのではなく,監査人の責任において決定する。
- エ.不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。
正解
エ. 不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。
解説
保証型の監査は対策の適切性に一定の保証を付与する監査、助言型の監査は改善のための助言を行う監査であり、どちらを選ぶかは監査要請者のニーズに応じて決まる。不特定多数の利害関係者の情報を扱うシステムでは、保証型監査を定期的に実施し結果を開示することが信頼確保に有用であるため、正解はエである。
選択肢ごとの解説
- ア.誤り。必ず保証型から始めて助言型に切り替えるといった順序は定められていない。
- イ.誤り。保証型と助言型は排他的に二者択一しなければならないものではなく、目的に応じて使い分けられる。
- ウ.誤り。いずれの型で実施するかは監査要請者のニーズに応じて決定するものである。
- エ.正しい。不特定多数の利害関係者の情報を扱うシステムでは、保証型監査を定期実施し結果を開示することが有用である。
情報セキュリティマネジメント試験 平成31年度春期 午前 の過去問一覧へ戻る・問40