情報セキュリティマネジメント試験掲示板


[1435] H28 春  39問目

 匿名さん(No.1) 
タイトルの問題について質問です
"情報セキュリティ監査基準"に基づいて情報セキュリティ監査を実施する場合,監査の対象,及びコンピュータを導入していない部署における監査実施の要否の組合せのうち,最も適切なものはどれか。
とあり選択肢のエがなぜ間違っているのかがわかりません。
コンピュータがない部署の情報セキュリティ監査は不要だと思うのですが何か解釈が間違っているのでしょうか?
今のところこじつけですがコンピュータがない=情報セキュリティが存在しない  だから監査もクソもないということだと思っています。
お気づきの点がありましたらご指摘の程よろしくお願いします。
2022.11.16 13:19
さん(No.2) 
本問は「システム監査」ではなく、
「情報セキュリティ監査」について聞いています。

従って監査対象は「情報資産」です。
「情報資産」は、電子データだけでなく紙媒体の記録や人の記憶なども含まれます
従って、コンピュータの無い部署、紙の書類だけを扱っている部署も監査対象になります。

「システム監査」だとエが正解ですね。
2022.11.16 14:01
ハニーポットは蜜の味さん(No.3) 
情報セキュリティ監査は、情報システムのセキュリティだけではなく、情報資産全体の
セキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な
対策がなされているかの視点で監査がなされます。

コンピュータを導入していない部署でも、情報資産に対してリスクアセスメントが行なわ
れているか、その結果に基づいて適切な対策(コントロール)がなされているかどうかを
監査します。

情報セキュリティを脅かす脅威は、会社内部の社員が顧客名簿をコピーして名簿業者に
販売したり、退職する社員が技術情報文書をコピーして転職先に漏洩するなど考えられ
ますので、コンピュータがない=情報セキュリティが存在しないとはなりません。
2022.11.16 15:18
 匿名さん(No.4) 
cさん、ハニーポットは蜜の味さんありがとうございます!
2022.11.17 12:49
Tsudo7090さん(No.5) 
この投稿は投稿者により削除されました。(2022.11.17 18:22)
2022.11.17 18:22

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※CBT方式においては出題内容の公開は禁止されているため、出題内容を尋ねたり、出題内容を特定できる類の投稿を禁止します。
※受験後に「この得点で合格していますか」といった類の質問をすることはスレッドの乱立に繋がるためお控えください。
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。
※同一人物が作成できるスレッドは24時間に1つまでに制限されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2015-2022 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop