情報セキュリティマネジメント試験 過去問解説
情報セキュリティ監査とは?情報セキュリティマネジメント試験 平成31年度春期 午前 問40を解説
情報セキュリティマネジメント試験 平成31年度春期 午前 問40は、情報セキュリティ監査に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)”における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。
この問題の出題ポイント
- 情報セキュリティ監査の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア同じ監査対象に対して情報セキュリティ監査を実施する場合,保証型の監査から手掛け,保証が得られた後に助言型の監査に切り替えなければならない。
- イ情報セキュリティ監査において,保証型の監査と助言型の監査は排他的であり,監査人はどちらで監査を実施するかを決定しなければならない。
- ウ情報セキュリティ監査を保証型で実施するか助言型で実施するかは,監査要請者のニーズによって決定するのではなく,監査人の責任において決定する。
- エ不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。正解
正解
エ: 不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。
解説
保証型の監査は対策の適切性に一定の保証を付与する監査、助言型の監査は改善のための助言を行う監査であり、どちらを選ぶかは監査要請者のニーズに応じて決まる。不特定多数の利害関係者の情報を扱うシステムでは、保証型監査を定期的に実施し結果を開示することが信頼確保に有用であるため、正解はエである。
なぜ他の選択肢が違うのか
ア
誤り。必ず保証型から始めて助言型に切り替えるといった順序は定められていない。
イ
誤り。保証型と助言型は排他的に二者択一しなければならないものではなく、目的に応じて使い分けられる。
ウ
誤り。いずれの型で実施するかは監査要請者のニーズに応じて決定するものである。
エ(正解)
正しい。不特定多数の利害関係者の情報を扱うシステムでは、保証型監査を定期実施し結果を開示することが有用である。
解き方の整理
情報セキュリティ監査の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。