情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 科目A サンプル問題 問36: アクセス制御を監査するシステム監査人の行為のうち，適切なものはどれか。

問題本文

アクセス制御を監査するシステム監査人の行為のうち，適切なものはどれか。

選択肢

• ア.ソフトウェアに関するアクセス制御の管理台帳を作成し，保管した。
• イ.データに関するアクセス制御の管理規程を閲覧した。
• ウ.ネットワークに関するアクセス制御の管理方針を制定した。
• エ.ハードウェアに関するアクセス制御の運用手続を実施した。

正解

イ. データに関するアクセス制御の管理規程を閲覧した。

解説

システム監査人は，監査対象から独立した立場で客観的に点検・評価する役割であり，被監査側の業務（規程の制定，台帳作成，運用手続の実施など）を自ら行ってはならない。監査人が行うのは，証拠資料の閲覧・確認といった監査手続である。正解はイで，管理規程を閲覧して整備状況を確認することは監査人の適切な行為である。

選択肢ごとの解説

• ア.誤り。管理台帳の作成・保管は被監査側（運用部門）の業務であり，監査人が行うと独立性を損なう。
• イ.正しい。管理規程を閲覧してアクセス制御が適切に定められているかを確認することは，監査人が行う証拠収集（閲覧）に当たる。
• ウ.誤り。管理方針の制定は経営者や管理部門の役割であり，監査人が行うべきではない。
• エ.誤り。運用手続の実施は運用部門の業務であり，監査人がこれを行うと独立性・客観性が失われる。