情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和5年度 科目A 公開問題 問9: 情報システムのインシデント管理に対する監査で判明した状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

問題本文

情報システムのインシデント管理に対する監査で判明した状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

選択肢

• ア.インシデント対応手順が作成され，関係者への周知が図られている。
• イ.インシデントによってデータベースが被害を受けた場合の影響を最小にするために，規程に従ってデータのバックアップをとっている。
• ウ.インシデントの種類や発生箇所，影響度合いに関係なく，連絡・報告ルートが共通になっている。
• エ.全てのインシデントについて，インシデント記録を残し，責任者の承認を得ることが定められている。

正解

ウ. インシデントの種類や発生箇所，影響度合いに関係なく，連絡・報告ルートが共通になっている。

解説

システム監査における指摘事項とは、統制上の不備や改善を要する問題点を指す。インシデントの種類や影響度に関係なく連絡・報告ルートが一律であると、重大インシデントの迅速なエスカレーションができず適切な対応が阻害されるため、これが指摘事項となり正解はウである。他の選択肢はいずれも望ましい統制が機能している状態であり、指摘の対象ではない。

選択肢ごとの解説

• ア.対応手順が作成され関係者に周知されている状態は適切な統制であり、指摘すべき不備ではありません。
• イ.規程に従ってバックアップを取得し被害の影響を最小化している状態は望ましい統制であり、指摘事項にはなりません。
• ウ.影響度に関係なく連絡・報告ルートが共通だと重大事案の迅速な報告・エスカレーションができず対応が遅れるため、改善を要する指摘事項として正しい記述です。
• エ.全インシデントで記録を残し責任者の承認を得る定めは適切な統制であり、指摘事項にはなりません。