情報セキュリティ監査とは?
「情報セキュリティ監査」とは、企業や組織などにおいて、「適切な情報セキュリティ対策を講じているか」、「環境変化に応じた適切な対策が取られているいるか」という観点など、「情報セキュリティマネジメント」が確立されているか、独立的な第3者の立場で評価を行い、助言を与えることです。
「JASA 日本セキュリティ監査協会」(http://www.jasa.jp/audit/about04.html)によると、情報セキュリティ監査基準は、以下として定められている。
- 多様な主体(監査法人、情報セキュリティ関連のシステム構築を行うベンダー、一般のシステム構築を行うベンダー、システムの監視サービスなどを行なっている情報セキュリティ専門企業等)が共通に利用するものであること。
- 外部の主体及び内部の主体が共通に利用するものであること。
- 内部目的、外部目的ともに利用するものであること。
- 保証型監査、助言型監査ともに利用するものであること。
なお、「情報セキュリティ監査」では、企業や組織などが保有する全ての情報資産に対し「リスクアセスメント」が実施され、適切な「リスクコントロール」が実施されているかどうか確認します。また、「情報資産」とは、企業や組織が管理し、保管が要求されている情報や、それが含まれている媒体です。そのため、情報システムや、その構成要素、情報システムの内外、ディジタル・紙媒体など形式を問わず、企業や組織が保有している全ての情報が、監査対象となります。
情報セキュリティ監査に関する問題(平成31年問50)
◆確認問題
ある事業者において、情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として、最も適切なものはどれか。
出典:平成31年度 春期 ITパスポート試験公開問題 問50
ア.情報資産を管理している情報システム
イ.情報システム以外で保有している情報資産
ウ.情報システムが保有している情報資産
エ.保有している全ての情報資産
正しいと思う選択肢をクリックしてみてください!!!
ア.情報資産を管理している情報システム
不正解です。
イ.情報システム以外で保有している情報資産
不正解です。
ウ.情報システムが保有している情報資産
不正解です。
エ.保有している全ての情報資産
正解です。
共同レビューとは?
「共同レビュー」とは、顧客(ユーザ)と開発者の間で、成果物の内容が顧客(ユーザ)の要求を満たしているか確認することです。
「ウォータフォール開発」では、顧客(ユーザ)の要件について、開発者が把握・理解できない状態で、「実装工程」に進んでしまうという問題があります。その問題点を解消させるため、顧客(ユーザ)と開発者の間で、設計書の記載内容について確認(共同レビュー)をする事が必要であると言われています。
共同レビューに関する問題(平成31年問51)
◆確認問題
システムの利用者と開発者の間で、システムの設計書の記載内容が利用者の要求を満たしていることを確認するために実施するものはどれか。
出典:平成31年度 春期 ITパスポート試験公開問題 問51
ア. 共同レビュー
イ. 結合テスト
ウ. シミュレーション
エ. 進捗会議
正しいと思う選択肢をクリックしてみてください!!!
ア. 共同レビュー
正解です。
イ. 結合テスト
不正解です。
ウ. シミュレーション
不正解です。
エ. 進捗会議
不正解です。
コメント