情報セキュリティマネジメント試験 過去問解説
システム監査基準とは?情報セキュリティマネジメント試験 平成29年度秋期 午前 問39を解説
情報セキュリティマネジメント試験 平成29年度秋期 午前 問39は、システム監査基準に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
システム監査基準(平成 16 年)における,組織体がシステム監査を実施する目的はどれか。
この問題の出題ポイント
- システム監査基準の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア自社の強み・弱み,自社を取り巻く機会・脅威を整理し,新たな経営戦略・事業分野を設定する。
- イシステム運用部門によるテストによって,社内ネットワーク環境の脆弱性を知り,ネットワーク環境を整備する。
- ウ情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し,改善につなげることによって,IT ガバナンスの実現に寄与する。正解
- エソフトウェア開発の生産性のレベルを客観的に知り,開発組織の能力を向上させるために,より高い生産性レベルを目指して取り組む。
正解
ウ: 情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し,改善につなげることによって,IT ガバナンスの実現に寄与する。
解説
システム監査は、独立かつ専門的な立場の監査人が、情報システムにまつわるリスクに対するコントロール(統制)が適切に整備・運用されているかを評価し、問題点の改善を促すことで組織の IT ガバナンス実現に寄与することを目的とする。この目的を述べた「ウ」が正しい。
なぜ他の選択肢が違うのか
ア
強み・弱みや機会・脅威を整理して経営戦略を立てるのは SWOT 分析など経営戦略策定の活動であり、システム監査の目的ではない。
イ
運用部門自身が脆弱性をテストするのは独立性を欠き、システム監査ではない。監査は独立した立場の監査人が評価する点に意義がある。
ウ(正解)
正しい。情報システムのリスクに対するコントロールの整備・運用状況を評価して改善につなげ、IT ガバナンスの実現に寄与するのがシステム監査の目的である。
エ
開発の生産性レベルを評価して能力向上を図るのは CMMI などのプロセス成熟度の取組みであり、システム監査の目的とは異なる。
解き方の整理
システム監査基準の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。