HOME»情報セキュリティマネジメント平成28年春期»午前問39
情報セキュリティマネジメント平成28年春期 午前問39
問39
"情報セキュリティ監査基準"に基づいて情報セキュリティ監査を実施する場合,監査の対象,及びコンピュータを導入していない部署における監査実施の要否の組合せのうち,最も適切なものはどれか。
分類
マネジメント系 » システム監査 » システム監査
正解
ア
解説
情報セキュリティ監査基準では、情報セキュリティ監査の目的を「情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うこと」と述べています。
“リスクに対するコントロールの整備状況を独立かつ客観的に評価し保証または助言を行うという点はシステム監査と同じですが、リスクとコントロールの対象が違うといえます。システム監査は情報システムを対象にリスクとコントロールをとらえ、情報セキュリティ監査では情報資産を対象にリスクとコントロールをとらえます。”(出典:NPO日本セキュリティ監査協会(JASA))
情報セキュリティ監査の対象である情報資産には、電子データやコンピュータの他、紙を含む記憶媒体、人の記憶なども含まれます。そのため実施場所はコンピュータ設置部署のみに留まらず、情報資産を取り扱う全ての部署が対象になります。
したがって「ア」が正しい組合せです。
“リスクに対するコントロールの整備状況を独立かつ客観的に評価し保証または助言を行うという点はシステム監査と同じですが、リスクとコントロールの対象が違うといえます。システム監査は情報システムを対象にリスクとコントロールをとらえ、情報セキュリティ監査では情報資産を対象にリスクとコントロールをとらえます。”(出典:NPO日本セキュリティ監査協会(JASA))
情報セキュリティ監査の対象である情報資産には、電子データやコンピュータの他、紙を含む記憶媒体、人の記憶なども含まれます。そのため実施場所はコンピュータ設置部署のみに留まらず、情報資産を取り扱う全ての部署が対象になります。
したがって「ア」が正しい組合せです。