平成28年春期試験問題 午前問3

情報セキュリティに係るリスクマネジメントが効果的に実施されるよう,リスクアセスメントに基づいた適切なコントロールの整備,運用状況を検証又は評価し,保証又は助言を与えるものであり,実施者に独立かつ専門的な立場が求められるものはどれか。

  • コントロールセルフアセスメント(CSA)
  • 情報セキュリティ監査
  • 情報セキュリティ対策ベンチマーク
  • デジタルフォレンジックス
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティ監査は、監査対象が情報セキュリティ対策に係る一定の条件を満たしているか否か、あるいは情報セキュリティ対策の実施状況が適切であるかを独立かつ専門的な立場のシステム監査人が検証又は評価することです。

設問でも触れられているように、情報セキュリティ監査の目的には「保証型」と「助言型」の2つのタイプがあります。
保証型の監査
監査対象の情報セキュリティマネジメント体制又は管理策が、監査実施の時点で適切であったことを監査意見として表明する形態の監査
助言型の監査
今後の改善を目的として、監査対象の情報セキュリティマネジメント体制又は管理策の欠陥や懸念事項等の問題点を検出し、必要に応じて監査意見として改善提言を表明する形態の監査
したがって「イ」が正解です。
  • コントロールセルフアセスメント(CSA)は、監査部が被監査部門を直接評価するのではなく、被監査部門が、自部門の活動を評価するものです。
  • 正しい。
  • 情報セキュリティ対策ベンチマークは、組織の情報セキュリティマネジメントシステムの実施状況を、自らが評価する自己診断ツールです。IPAのWebサイトで公開されていて、情報セキュリティ対策への取組みに関する25問(評価項目)への回答から対策状況のスコア(1~5の5段階)が計算される仕組みになっています。
  • デジタルフォレンジックスは、不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠に必要となる電子的記録を収集・解析することです。

この問題の出題歴


Pagetop