10-5 システム監査と内部統制
令和6年7月修了試験 問45
情報セキュリティ監査基準(Ver1.0)に関する記述のうち,最も適切なものはどれか。
- ア 情報セキュリティ監査基準(Ver1.0)は情報セキュリティマネジメントシステムの国際規格と同一の内容で策定され,更新されている。
- イ 情報セキュリティ監査人は,他の専門家の支援を受けてはならないとしている。
- ウ 情報セキュリティ監査の判断の尺度には,原則として,情報セキュリティ管理基準(平成28年)を用いることとしている。
- エ 情報セキュリティ監査は高度な技術的専門性が求められるので,監査人に独立性は不要としている。
解答 ウ
【頭の準備体操】
情報セキュリティ管理基準は,組織が情報資産を保護するために必要な管理策を定めたガイドライン。
情報セキュリティ監査基準は,組織が情報セキュリティ管理体制やプロセスが適切に機能しているかを評価するために定めたガイドライン。原則,情報セキュリティ管理基準を判断尺度として使用する。
- ア 情報セキュリティ管理基準は,情報セキュリティマネジメントの国際規格であるISO/IEC 27001を基に策定され,更新される。
- イ 監査人は,高度な専門性が求められる場合には他の専門家の支援を受けることができる。
- ウ 正解
- エ 監査人は,監査対象に対して外観上及び精神上の独立性が要求される。
令和6年6月修了試験 問45
情報システムの監査可能性(Auditability)を説明したものはどれか。
- ア コントロールの有効性を監査できるように,情報システムが設計・運用されていること
- イ システム監査人が,監査の目的に合致した有効な手続を行える能力をもっていること
- ウ 情報システムから入手した監査証拠の十分性と監査報告書の完成度が保たれていること
- エ 情報システム部門の積極的な協力が得られること
解答 ア
【頭の準備体操】
情報システムの監査可能性は,監査が適切に評価できる状態であること。