応用情報処理技術者の試験対策サイトです。 午前試験を中心とした基礎用語の解説を中心に掲載します。 書き始めたばかりなので、内容はまだまだ不十分です。

システム監査が情報システムの監査をするのに対し、セキュリティ監査は、セキュリティの監査をします。
似ていますが、その目的などは若干の違いがあります。というのも、システムというのは、ITをうまく活用することで会社の業績に貢献するものですが、セキュリティは業務に貢献しません。システムとセキュリティでは、目指す方向が別の方向だからです。

1.情報セキュリティ監査基準
経済産業省が出した「情報セキュリティ監査基準(ver1.0)」
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf

ここには、以下の記載があります。
----------------------
(情報セキュリティ監査基準(ver1.0)」より引用)
有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定する「実施基準」、監査報告に係る
留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。

(中略)

本監査基準は、情報セキュリティに保証を付与
することを目的とした監査であっても、情報セキュリティの欠陥に対して助言を行うことを目的とした監査であっても利用できる。
----------------------

ポイントは以下です。
(1)監査人の行為規範であること。
(2)一般基準、実施基準、報告基準からなる
(3)監査には「保証型」と「助言型」があるが、双方で利用できる。

過去問を解いてみましょう。
問25 “情報セキュリティ監査基準”の位置付けはどれか。
ア 監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり、監査人の規範である。
イ 情報資産を保護するためのベストプラクティスをまとめたものであり、監査マニュアル作成の手引書である。
ウ 情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
エ 組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である。(H22SC春午前供
上で解説した通り、正解はウです。
 
2.情報セキュリティ管理基準
経済産業省が出した「情報セキュリティ管理基準(平成20年改正版)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf

この管理基準ですが、「情報セキュリティ監査基準」に従って監査を行う場合、「情報セキュリティ管理基準」が監査判断の基準となりえます

3.監査台帳
過去問(H23SC春PM2問2設問1(1))を紹介します。 
G君 :Y社以外から選ぶとしたら,どういう企業を選ぶべきですか。
F主任:経済産業省の情報セキュリティ監査[ c ]に登録されている企業から選ぶのがよいだろう。得意とする監査対象の分野・業種,前年度の監査の実績などが経済産業省のWebサイトで検索できるから,何社か候補を挙げて問い合わせてみてくれるかな。

正解ですが、cに当てはまる言葉は、「企業台帳」です。
監査台帳は、経済産業省のHPにて公開されています。具体的な会社名と監査人の経歴などが掲載されています。
http://www.meti.go.jp/policy/netsecurity/is-kansa/

4.「保証型」と「助言型」
「保証型」は、情報セキュリティ管理基準に適合していることを保証するもの。
「助言型」は、適合していない部分に関して、その対処策を助言するもの。

過去問(H23SC春PM2問2設問1(1))を解いてみましょう。
〔  〕に入れる適切な字句を、それぞれ5字以内で答えます。
情報セキュリティ監査には、大きく分けると二つのタイプの監査があるが、今の時点で監査を受けるとしたら〔 a 〕型かな。その結果で得られる管理面、技術面の改善提言を基に情報セキュリティを改善していき、情報セキュリティ管理の成熟度が上がったら、次の段階として〔 b 〕型に移動していくのがよいだろうね。そうすれば、当社が明確な基準に適合するレベルで情報セキュリティ対策を実施していることを、部品メーカや製品メーカに対して示すことができるだろう。
正解は、以下です。
a 助言
b 保証

5.監査の独立性
以下の過去問(H23年春SC午後玉2)を解いてみましょう。
G君 :監査の依頼先ですが,いつもシステム開発をお願いしているソフトウェアハウスのY社も監査サービスをやっているはずですから, Y社に監査を依頼すればよいですか。
F主任:〆2鵑里茲Δ幣豺隋Y社に監査を依頼すべきではないよね。
F主任は,その理由を説明した。

【設問1(2)】
本文中の下線,砲弔い,Y社に監査を依頼すべきではないとF主任が述べた理由を,監査の原則の観点から40字以内で述べよ。

監査の原則という観点から、簡単だったと思います。自分が開発したシステムのチェックをしたとしても、悪いところは隠ぺいする可能性があるからです。

【解答】
Y社はK社の開発委託先であり、監査の独立性を確保することが難しいから
コメント
コメントフォーム
評価する
  • 1
  • 2
  • 3
  • 4
  • 5
  • リセット
  • 1
  • 2
  • 3
  • 4
  • 5
  • リセット
トラックバック

このページのトップヘ