- トップページ
- システム監査技術者
- 平成21年度春季問題
- 平成21年度春季解答・解説
平成21年度春季解答
問題1
アクセス権限を管理しているシステムの利用者IDリストから、退職による権限喪失者が削除されていることを検証する手続として、最も適切なものはどれか。
| ア | アクセス権限削除申請書の全件について、利用者IDリストから削除されていることを確認する。 |
| イ | 最新の利用者IDリストの全件について、対応するアクセス権限削除申請書が存在しないことを確認する。 |
| ウ | 人事発令簿の退職者の全件について、利用者IDリストから削除されていることを確認する。 |
| エ | 利用者IDリストの更新履歴の全件について、対応するアクセス権限削除申請書の存在を確認する。 |
解答:ウ
<解説>
問題2
データベースのインテグリティの維持に関する監査ポイントはどれか。
| ア | データベースのデータに不具合が発生した場合の回復手段が組み込まれているかどうか。 |
| イ | データベースの利用効率が適切であるかどうか。 |
| ウ | データ領域の使用中領域と拡張用領域のバランスが適切であるかどうか。 |
| エ | 利用者の要求に応じたレスポンスタイムが確保できているかどうか。 |
解答:ア
<解説>
データベースのインテグリティ(完全性)とは、データの処理・読み込み・書き込み・保管・転送などに際して、目的のデータが常に揃っていて、内容に誤りや欠けが無いこと(および、それを保証すること)を意味する。装置の障害やソフトウェアのバグによって内容が失われたり、外部の攻撃者によって改ざんされたりすると、インテグリティが損なわれることになる。
| ア | ○ | データベースのインテグリティの維持に関する監査ポイントである。 |
| イ | × | データベースの利用効率は、効率性の問題であり、インテグリティの維持に関する監査ポイントではない。 |
| ウ | × | データ領域の使用中領域と拡張用領域のバランスは、効率性の問題であり、インテグリティの維持に関する監査ポイントではない。 |
| エ | × | 利用者の要求に応じたレスポンスタイムの確保は、効率性の問題であり、インテグリティの維持に関する監査ポイントではない。 |
問題3
“システム監査基準”を定める予備調査に関する記述のうち、適切なものはどれか。
| ア | 個別計画書を作成するために行う予備的な調査である。 |
| イ | 本調査に先立って、監査対象業務の実態を把握するために行う調査である。 |
| ウ | 本調査に先立って、被監査部門と監査計画を調整するために行う調査である。 |
| エ | 本調査を補完する目的で、本調査と並行して行う調査である。 |
解答:イ
<解説>
| ア | × | 個別計画書作成後に、予備調査を行う。 |
| イ | ○ | 予備調査は、監査対象の業務およびシステムの実態を把握し、その後の本調査を円滑に実施することを目的とする。 |
| ウ | × | 被監査部門との調整は予備調査前の実施準備の段階で行う。 |
| エ | × | 予備調査は、本調査に先立って行われる。 |
問題4
情報システムの可用性監査において、システム障害報告書に基づき再発防止策の効果をレビューする手段として、適切なものはどれか。
| ア | 障害原因と障害発生時の停止時間の記載の有無の確認 |
| イ | 障害報告書の承認体制と承認状況の確認 |
| ウ | 前期及び当期の回復許容時間の予測値の比較 |
| エ | 前期及び当期の障害原因別の障害発生件数と停止時間の比較 |
解答:エ
<解説>
可用性監査では、一般にユーザの要求する稼働率を確保するためのコントロールが整備・運用されているかを確かめる監査手続きを実施する。
| ア | × | 障害原因と障害発生時の停止時間の記載の有無の確認は、障害監理の妥当性をレビューする手続である。 |
| イ | × | 障害報告書の承認体制と承認状況の確認は、障害報告の妥当性をレビューする手続である。 |
| ウ | × | 前期及び当期の回復許容時間の予測値の比較は、障害発生時の対応策の効果をレビューする手続である。 |
| エ | ○ | 前期及び当期の障害原因別の障害発生件数と停止時間の比較は、再発防止策の効果をレビューする手続である。 |
問題5
“情報セキュリティ監査基準”における保証型監査と助言型監査に関する記述のうち、適切なものはどれか。
| ア | 助言型監査とは、監査上の判断尺度として情報セキュリティ管理基準を利用し、情報セキュリティ上の問題点の指摘と改善提言は監査人の自由裁量で行う監査のことである。 |
| イ | 助言型監査とは、監査対象の情報セキュリティに関するマネジメントやコントロールの適切な運用を目的として、情報セキュリティ上の問題点の検出と改善を命令する監査のことである。 |
| ウ | 保証型監査とは、監査手続を実施した限りにおいて、監査対象の情報セキュリティに関するマネジメントやコントロールが適切であることを保証する監査のことである。 |
| エ | 保証型監査とは、監査の結果としてインシデントが発生しないことをステークホルダに対して保証する監査のことである。 |
解答:ウ
<解説>
情報セキュリティ監査には、組織体が採用している情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査という)
と、情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査という)がある。
- 保証型の監査
- 監査対象たる情報セキュリティのマネジメント又はコントロールが、監査手続を実施した限りにおいて適切である旨(又は不適切である旨)を監査意見として表明する形態の監査
- 助言型の監査
- 情報セキュリティのマネジメント又はコントロールの改善を目的として、監査対象の情報セキュリティ対策上の欠陥及び懸念事項等の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を監査意見として表明する形態の監査
| ア | × | 情報セキュリティ上の問題点の指摘と改善提言は監査人の自由裁量で行ってはならない。情報セキュリティ監査基準や情報セキュリティ管理基準などの適切な根拠に基づいて行われるべきものである。 |
| イ | × | 助言型監査とは、監査対象の情報セキュリティに関するマネジメントやコントロールの適切な運用を目的として、情報セキュリティ上の問題点の検出と改善を提言する監査のことである。 |
| ウ | ○ | 正しい |
| エ | × | 保障には限界があり、監査の結果としてインシデントが発生しないことを保証する監査ではない。 |
お問い合わせ
