応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。
カテゴリ:

17.システム監査(高度用) > 2.4 セキュリティ監査

システム監査が情報システムの監査をするのに対し、セキュリティ監査は、セキュリティの監査をします。
似ていますが、その目的などは若干の違いがあります。というのも、システムというのは、ITをうまく活用することで会社の業績に貢献するものですが、セキュリティは業務に貢献しません。システムとセキュリティでは、目指す方向が別の方向だからです。

1.情報セキュリティ監査基準
経済産業省が出した「情報セキュリティ監査基準(ver1.0)」
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf

ここには、以下の記載があります。
----------------------
(情報セキュリティ監査基準(ver1.0)」より引用)
有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定する「実施基準」、監査報告に係る
留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。

(中略)

本監査基準は、情報セキュリティに保証を付与
することを目的とした監査であっても、情報セキュリティの欠陥に対して助言を行うことを目的とした監査であっても利用できる。
----------------------

ポイントは以下です。
(1)監査人の行為規範であること。
(2)一般基準、実施基準、報告基準からなる
(3)監査には「保証型」と「助言型」があるが、双方で利用できる。

過去問を解いてみましょう。
問25 “情報セキュリティ監査基準”の位置付けはどれか。
ア 監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり、監査人の規範である。
イ 情報資産を保護するためのベストプラクティスをまとめたものであり、監査マニュアル作成の手引書である。
ウ 情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
エ 組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である。(H22SC春午前供
上で解説した通り、正解はウです。
 
2.情報セキュリティ管理基準
経済産業省が出した「情報セキュリティ管理基準(平成20年改正版)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf

この管理基準ですが、「情報セキュリティ監査基準」に従って監査を行う場合、「情報セキュリティ管理基準」が監査判断の基準となりえます。
前文によると、「情報セキュリティ管理基準は、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である」と述べられています。

3.監査台帳
過去問(H23SC春PM2問2設問1(1))を紹介します。 
G君 :Y社以外から選ぶとしたら,どういう企業を選ぶべきですか。
F主任:経済産業省の情報セキュリティ監査[ c ]に登録されている企業から選ぶのがよいだろう。得意とする監査対象の分野・業種,前年度の監査の実績などが経済産業省のWebサイトで検索できるから,何社か候補を挙げて問い合わせてみてくれるかな。

正解ですが、cに当てはまる言葉は、「企業台帳」です。
監査台帳は、経済産業省のHPにて公開されています。具体的な会社名と監査人の経歴などが掲載されています。
http://www.meti.go.jp/policy/netsecurity/is-kansa/

4.「保証型」と「助言型」
「保証型」は、情報セキュリティ管理基準に適合していることを保証するもの。
「助言型」は、適合していない部分に関して、その対処策を助言するもの。

過去問(H23SC春PM2問2設問1(1))を解いてみましょう。
〔  〕に入れる適切な字句を、それぞれ5字以内で答えます。
情報セキュリティ監査には、大きく分けると二つのタイプの監査があるが、今の時点で監査を受けるとしたら〔 a 〕型かな。その結果で得られる管理面、技術面の改善提言を基に情報セキュリティを改善していき、情報セキュリティ管理の成熟度が上がったら、次の段階として〔 b 〕型に移動していくのがよいだろうね。そうすれば、当社が明確な基準に適合するレベルで情報セキュリティ対策を実施していることを、部品メーカや製品メーカに対して示すことができるだろう。
正解は、以下です。
a 助言
b 保証

5.監査の独立性
以下の過去問(H23年春SC午後玉2)を解いてみましょう。
G君 :監査の依頼先ですが,いつもシステム開発をお願いしているソフトウェアハウスのY社も監査サービスをやっているはずですから, Y社に監査を依頼すればよいですか。
F主任:〆2鵑里茲Δ幣豺隋Y社に監査を依頼すべきではないよね。
F主任は,その理由を説明した。

【設問1(2)】
本文中の下線,砲弔い,Y社に監査を依頼すべきではないとF主任が述べた理由を,監査の原則の観点から40字以内で述べよ。

監査の原則という観点から、簡単だったと思います。自分が開発したシステムのチェックをしたとしても、悪いところは隠ぺいする可能性があるからです。

【解答】
Y社はK社の開発委託先であり、監査の独立性を確保することが難しいから

医者1

個人情報保護法に関して、整理してみよう

・個人情報保護法
・個人情報保護関連5法(個人情報保護法を含む)
・OECDプライバシーガイドライン
・個人情報保護ガイドライン
・JIS Q 15001
・プライバシーマーク(Pマーク)
・・・・


4433de7eたくさんありますね。覚えられるかな。

 

 

 

医者2結論からいうと、法律に関しては「個人情報保護法」を覚えよう。
ガイドラインに関しては、「JIS Q 15001」を覚えよう。
特に午後試験対策としてはJIS Q 15001をよく理解すべきである。

 

e2e98953
ガイドラインはどいう意味ですか?

 

 


医者1
「法律」は難解でわかりにくい。実際にどのように運用したらいいかを分かりやすく説明したもののこと。
個人情報保護を遵守するためのPDCAサイクルを記載してある。

情報セキュリティポリシの策定とその見直しは重要

ISMSのポイントは
①機密性、可用性、完全性の確保
②PDCAサイクル・・・単に作っただけでは終わらない。
※情報マネジメントシステム推進センターのパンフレットを参照


■参考URL
第2回 認証取得のためのISMSガイド
http://www.atmarkit.co.jp/fsecurity/rensai/guide02/guide01a.html

日本情報処理開発協会(JIPDEC) ジップデックと読む
ISMS適合性評価制度
http://www.isms.jipdec.jp/isms.html
認定基準も参考になる。

H23年春SC午後玉2にて、セキュリティ監査にかかわる設問があります。ここでは、情報セキュリティ監査報告書の一例が掲載されています。
あくまでも一例ですが、イメージを掴んでもらえると思い、以下に掲載します。

情報セキュリティ監査報告書


(中略)
1.検出事項
 (1)受発注WebシステムにおけるセッションIDの取扱いに関する不備
 (2)開発委託先Y社における顧客情報の取扱いの不備
 (3)配送センタの無線LANにおけるWPA-PSK事前共有鍵の不備

2.改善提言
 (1)受発注Webシステムにおけるセキュリティ対策
  (1-a)セッションIDの取扱いに関するセキュリティ強化
 (2)開発委託先に対する顧客情報の管理
  (2-a)じ楜匸霾鵑亮莪靴い紡个垢覺浜策の追加
 (3)配送センタの無線LANのセキュリティ対策
  (3-a)WPA-PSK事前共有鍵の強化
  (3-b)無線LAN認証方式の強化

3.検出事項と改善提言の詳細
(以下,省略)
図4 情報セキュリティ監査報告書

このページのトップヘ