平成31年春期試験午前問題 問40

経済産業省"情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)" における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。

  • 同じ監査対象に対して情報セキュリティ監査を実施する場合,保証型の監査から手がけ,保証が得られた後に助言型の監査に切り替えなければならない。
  • 情報セキュリティ監査において,保証型の監査と助言型の監査は排他的であり,監査人はどちらで監査を実施するかを決定しなければならない。
  • 情報セキュリティ監査を保証型で実施するか助言型で実施するかは,監査要請者のニーズによって決定するのではなく,監査人の責任において決定する。
  • 不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
情報セキュリティ監査は、監査対象が情報セキュリティ対策に係る一定の条件を満たしているか否か、あるいは情報セキュリティ対策の実施状況が適切であるかを独立かつ専門的な立場のシステム監査人が検証又は評価することです。

設問でも触れられているように、情報セキュリティ監査の目的には「保証型」と「助言型」の2つのタイプがあります。
保証型の監査
監査対象の情報セキュリティマネジメント体制又は管理策が、監査実施の時点で適切であったことを監査意見として表明する形態の監査
助言型の監査
今後の改善を目的として、監査対象の情報セキュリティマネジメント体制又は管理策の欠陥や懸念事項等の問題点を検出し、必要に応じて監査意見として改善提言を表明する形態の監査
  • 助言型の監査から手掛け、被監査側の情報セキュリティ対策が一定水準に達した段階で保証型の監査に切り替える流れが適切です。
  • 2つの目的は排他的なものではないため、保証と助言の2つを監査の目的とすることができます。
  • 情報セキュリティ監査の目的は、基本的には監査依頼者又は被監査側のニーズによって決定されます。監査人は、事前にどちらを目的とするかについて監査依頼者又は被監査側と調整しておく必要があります。
  • 正しい。不特定多数の利害関係者が関与する事業やシステムで、公共性の高い場合や高い機密性が求められる場合については、保証型の監査を定期的に行うことで利害関係者の信頼を得ることが推奨されます。

Pagetop