基本情報技術者講座
★ 猫本 10-05 システム監査(その2) ★
基本情報技術者 平成31年度春期 午前問58
システム監査人がインタビュー実施時にすべきことのうち,最も適切なものはどれか。
| ア | インタビューで監査対象部門から得た情報を裏付けるための文書や記録を入手するよう努める。 |
| イ | インタビューの中で気が付いた不備事項について,その場で監査対象部門に改善を指示する。 |
| ウ | 監査対象部門内の監査業務を経験したことのある管理者をインタビューの対象者として選ぶ。 |
| エ | 複数の監査人でインタビューを行うと記録内容に相違が出ることがあるので,1人の監査人が行う。 |
解説
(頭の準備体操)
本監査:監査対象部門から監査証拠を入手するよう努める。
| ア | インタビューで監査対象部門から得た情報を裏付けるための文書や記録を入手するよう努める。(正解) |
| イ | 改善のための助言を行う権限はあるが,改善を指示する権限はない。監査結果は監査依頼人に報告する。 |
| ウ | 管理者だけでなく,業務担当者からも選ぶことが望ましい。 |
| エ | 監査人の見解のばらつきを抑えるという観点から,複数人でインタビューを行うこともある。 |
解答
ア
基本情報技術者 平成29年度秋期 問59
システム監査人が実施するヒアリングに関する記述のうち,適切なものはどれか。
| ア | 監査業務を経験したことのある被監査部門の管理者をヒアリングの対象者として選ぶ。 |
| イ | ヒアリングで被監査部門から得た情報を裏付けるための文書や記録を入手するよう努める。 |
| ウ | ヒアリングの中で気が付いた不備事項について,その場で被監査部門に改善を指示する。 |
| エ | 複数人でヒアリングを行うと記録内容に相違が出ることがあるので,1人のシステム監査人が行う。 |
解説
(頭の準備体操)
本監査:監査対象部門から監査証拠を入手するよう努める。
| ア | 管理者だけでなく,業務担当者からも選ぶことが望ましい。 |
| イ | ヒアリングで被監査部門から得た情報を裏付けるための文書や記録を入手するよう努める。(正解) |
| ウ | 改善のための助言を行う権限はあるが,改善を指示する権限はない。監査結果は監査依頼人に報告する。 |
| エ | 監査人の見解のばらつきを抑えるという観点から,複数人でヒアリングを行うこともある。 |
解答
イ
基本情報技術者 平成29年度秋期 問60
監査調書の説明はどれか。
| ア | 監査人が行った監査手続の実施記録であり,監査意見の根拠となる。 |
| イ | 監査人が監査実施に当たり被監査部門に対して提出する,監査人自身のセキュリティ誓約書をまとめたものである。 |
| ウ | 監査人が監査の実施に利用した基準書,ガイドラインをまとめたものである。 |
| エ | 監査人が正当な注意義務を払ったことを証明するために,監査報告書とともに公表するよう義務付けられたものである。 |
解説
(頭の準備体操)
監査調書:システム監査人が行った監査業務の実施記録。監査意見の根拠となる。
よって,アである。
解答
ア
基本情報技術者 平成29年度春期 問58
システム監査人が,監査報告書の原案について被監査部門と意見交換を行う目的として,最も適切なものはどれか。
| ア | 監査依頼者に監査報告書を提出する前に,被監査部門に監査報告を行うため |
| イ | 監査報告書に記載する改善勧告について,被監査部門の責任者の承認を受けるため |
| ウ | 監査報告書に記載する指摘事項及び改善勧告について,事実誤認がないことを確認するため |
| エ | 監査報告書の記載内容に関して調査が不足している事項を被監査部門に口頭で確認することによって,不足事項の追加調査に代えるため |
解説
| ア | 被監査部門に監査報告を行うことはない。監査依頼人に監査報告をする。 |
| イ | 被監査部門の責任者の承認を受けることはない。監査依頼人に承認を受ける。 |
| ウ | 監査報告書に記載する指摘事項及び改善勧告について,事実誤認がないことを確認するため(正解) |
| エ | 不足事項の追加調査のために意見交換を行うのではない。 |
解答
ウ
基本情報技術者 平成29年度秋期 問58
システム運用業務のオペレーション管理に関する監査で判明した状況のうち,指摘事項として監査報告書に記載すべきものはどれか。
| ア | 運用責任者が,オペレータの作成したオペレーション記録を確認している。 |
| イ | 運用責任者が,期間を定めてオペレーション記録を保管している。 |
| ウ | オペレータが,オペレーション中に起きた例外処理を記録している。 |
| エ | オペレータが,日次の運用計画を決定し,自ら承認している。 |
解説
(頭の準備体操)
職務分掌:内部統制機構を構築するに当たって,仕事の役割分担や仕事の権限を明確にすること(IP23.1.43)
日次の運用計画を決定する人と,承認する人を分ける必要がある。
よって,エである。
解答
エ
基本情報技術者 平成30年度秋期 問59
外部保管のために専門業者にバックアップ媒体を引き渡す際の安全性について,セキュリティ監査を実施した。その結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
| ア | 委託元責任者が,一定期間ごとに,専門業者における媒体保管状況を確認する契約を結んだ上で引き渡している。 |
| イ | 委託元責任者が,専門業者との間で,機密保持条項を盛り込んだ業務委託契約を結んだ上で引き渡している。 |
| ウ | 委託元担当者が,専用の記録簿に,引渡しの都度,日付と内容を記入し,専門業者から受領印をもらっている。 |
| エ | 委託元担当者が,バックアップ媒体を段ボール箱に入れ,それを専門業者に引き渡している。 |
解説
鍵付きのセキュリティが施された専用のメディアトランクなどにバックアップ媒体を入れ,それを専門業者に引き渡す。
よって,エである。
解答
エ
基本情報技術者 平成31年度春期 午前問60
A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について,"情報セキュリティ管理基準(平成28年)"に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
| ア | バックアップ取得手順書を作成し,取得担当者を定めていた。 |
| イ | バックアップを取得した電子記録媒体からデータベースを復旧する試験を,事前に定めたスケジュールに従って実施していた。 |
| ウ | バックアップを取得した電子記録媒体を,機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。 |
| エ | バックアップを取得した電子記録媒体を,業務システムが稼働しているサーバの近くで保管していた。 |
解説
「バックアップ情報は,主事業所の災害による被害から逃れるために,十分離れた場所に保管する」(情報セキュリティ管理基準)
よって,エである。
解答
エ
基本情報技術者 平成30年度秋期 問58
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
| ア | USBメモリの使用を,定められた手順に従って許可していた。 |
| イ | 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。 |
| ウ | マルウェアスキャンでスパイウェアが検知され,駆除されていた。 |
| エ | リスクアセスメントを実施した後に,リスク受容基準を決めた。 |
解説
(頭の準備体操)
リスクアセスメント:リスク特定→リスク分析→リスク評価
リスクアセスメントを実施する前に,リスク受容基準を決めておく必要がある。
よって,エである。
解答
エ