平成28年春期試験午前問題 問39

"情報セキュリティ監査基準"に基づいて情報セキュリティ監査を実施する場合,監査の対象,及びコンピュータを導入していない部署における監査実施の要否の組合せのうち,最も適切なものはどれか。

39.gif
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
情報セキュリティ監査基準では、情報セキュリティ監査の目的を「情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うこと」と述べています。

“リスクに対するコントロールの整備状況を独立かつ客観的に評価し保証または助言を行うという点はシステム監査と同じですが、リスクとコントロールの対象が違うといえます。システム監査は情報システムを対象にリスクとコントロールをとらえ、情報セキュリティ監査では情報資産を対象にリスクとコントロールをとらえます。”(出典:NPO日本セキュリティ監査協会(JASA))

情報セキュリティ監査の対象である情報資産には、電子データやコンピュータの他、紙を含む記憶媒体、人の記憶なども含まれます。そのため実施場所はコンピュータ設置部署のみに留まらず、情報資産を取り扱う全ての部署が対象になります。
したがって「ア」が正しい組合せです。

Pagetop