基本情報技術者講座
★ 猫本 10-05 システム監査(その3) ★
基本情報技術者 平成30年度春期 問60・平成28年度秋期 問59
情報セキュリティ監査において,可用性を確認するチェック項目はどれか。
| ア | 外部記憶媒体の無断持出しが禁止されていること |
| イ | 中断時間を定めたSLAの水準が保たれるように管理されていること |
| ウ | データ入力時のエラーチェックが適切に行われていること |
| エ | データベースが暗号化されていること |
解説
(頭の準備体操)
可用性:使いたいときに,いつでも使えること
SLA(サービスレベル合意書):「サービス提供者と利用者の間でサービスレベルの目標値を定め,取り交わされる合意書」(IP29.2.36)
可用性を監査するには,中断時間を定めたSLAの水準が保たれるように管理されていることを評価する。
よって,イである。
解答
イ
基本情報技術者 平成29年度春期 問59
システムに関わるドキュメントが漏えい,改ざん,不正使用されるリスクに対するコントロールを監査する際のチェックポイントはどれか。
| ア | システムの変更に伴い,ドキュメントを遅滞なく更新していること |
| イ | ドキュメントの機密性を確保するための対策を講じていること |
| ウ | ドキュメントの標準化を行っていること |
| エ | プロトタイプ型開発においても,必要なドキュメントを作成していること |
解説
(頭の準備体操)
機密性:許可された者だけが,情報をアクセス・使用できること。
漏えい,改ざん,不正使用されるリスクに対するコントロールを監査するには,機密性を確保する対策を講じていることを評価する。
よって,イである。
解答
イ
基本情報技術者 平成28年度秋期 問58
"システム管理基準"に基づいて,システムの信頼性,安全性,効率性を監査する際に,システムが不正な使用から保護されているかどうかという安全性の検証項目として,最も適切なものはどれか。
| ア | アクセス管理機能の検証 |
| イ | フェールソフト機能の検証 |
| ウ | フォールトトレラント機能の検証 |
| エ | リカバリ機能の検証 |
解説
システムが不正な使用から保護されているかどうかを監査するには,アクセス管理機能を検証する。
よって,イである。
解答
ア
基本情報技術者 平成28年度春期 問59
アクセス制御を監査するシステム監査人が採った行動のうち,適切なものはどれか。
| ア | ソフトウェアに関するアクセス制御の管理表の作成と保管 |
| イ | データに関するアクセス制御の管理状況の確認 |
| ウ | ネットワークに関するアクセス制御の管理方針の制定 |
| エ | ハードウェアに関するアクセス制御の運用管理の実施 |
解説
アクセス制御を監査するには,データに関するアクセス制御の管理状況を評価する。
よって,イである。
解答
イ
基本情報技術者 平成28年度春期 問61
ソフトウェアのパッチの適用において,システムに不具合が発生するリスクを低滅するコントロールを監査する際のチェックポイントはどれか。
| ア | キャパシティプランニングの手続を定めていること |
| イ | データベース管理者が任命され,マスタデータの管理手続を定めていること |
| ウ | ハードウェア管理台帳を作成し,システム管理者が管理していること |
| エ | 本稼働前にシステムの動作確認を十分に実施していること |
解説
(頭の準備体操)
パッチ:ソフトウェアに内在する不具合などを修正するプログラム
ソフトウェアのパッチの適用において,システムに不具合が発生するリスクを低滅するコントロールを監査するには,本稼働前にシステムの動作確認を十分に実施していることを評価する。
よって,エである。
解答
エ
基本情報技術者 令和元年度秋期 問60
アクセス制御を監査するシステム監査人の行為のうち,適切なものはどれか。
| ア | ソフトウェアに関するアクセス制御の管理台帳を作成し,保管した。 |
| イ | データに関するアクセス制御の管理規程を閲覧した。 |
| ウ | ネットワークに関するアクセス制御の管理方針を制定した。 |
| エ | ハードウェアに関するアクセス制御の運用手続を実施した。 |
解説
システム監査上の判断尺度:『原則として「システム管理基準」又は当該基準を組織体の特性や状況等に応じて編集した基準・規程等を利用することが望ましい。』(システム監査基準)
よって,イである。
解答
イ
基本情報技術者 令和元年度秋期 問58
システムテストの監査におけるチェックポイントのうち,適切なものはどれか。
| ア | テストケースが網羅的に想定されていること |
| イ | テスト計画は利用者側の責任者だけで承認されていること |
| ウ | テストは実際に業務が行われている環境で実施されていること |
| エ | テストは利用者側の担当者だけで行われていること |
解説
(頭の準備体操)
システムテスト:「ソフトウエアの機能的なテストだけでなく,性能などの非機能要件もテストする。」(IP25.2.35)
| ア | テストケースが網羅的に想定されていること(正解) |
| イ | テスト計画は開発側の責任者で承認されていること |
| ウ | テストは本番環境とは隔離されたテスト環境で実施されていること |
| エ | テストは開発側の担当者も参加していること |
解答
ア
基本情報技術者 平成28年度秋期 問60
事業継続計画(BCP)について監査を実施した結果,適切な状況と判断されるものはどれか。
| ア | 従業員の緊急連絡先リストを作成し,最新版に更新している。 |
| イ | 重要書類は複製せずに1か所で集中保管している。 |
| ウ | 全ての業務について,優先順位なしに同一水準のBCPを策定している。 |
| エ | 平時にはBCPを従業員に非公開としている。 |
解説
(頭の準備体操)
事業継続計画(BCP):「事業中断の原因とリスクを想定し,未然に回避又は被害を受けても速やかに回復できるように方針や行動手順を規定したもの」(FE23.2.61)
| ア | 従業員の緊急連絡先リストを作成し,最新版に更新している。(正解) |
| イ | 重要書類は分散管理すべきである。 |
| ウ | 優先順位を付けBCPを策定すべきである。 |
| エ | BCPを従業員に公開すべきである。 |
解答
ア