「情報セキュリティ監査」「共同レビュー」の解説
-3.jpg)
「情報セキュリティ監査」とは、企業や組織などにおいて、「適切な情報セキュリティ対策を講じているか」、「環境変化に応じた適切な対策が取られているいるか」という観点など、「情報セキュリティマネジメント」が確立されているか、独立的な第3者の立場で評価を行い、助言を与えることです。
「JASA 日本セキュリティ監査協会」(http://www.jasa.jp/audit/about04.html)によると、情報セキュリティ監査基準は、以下として定められている。
- 多様な主体(監査法人、情報セキュリティ関連のシステム構築を行うベンダー、一般のシステム構築を行うベンダー、システムの監視サービスなどを行なっている情報セキュリティ専門企業等)が共通に利用するものであること。
- 外部の主体及び内部の主体が共通に利用するものであること。
- 内部目的、外部目的ともに利用するものであること。
- 保証型監査、助言型監査ともに利用するものであること。
なお、「情報セキュリティ監査」では、企業や組織などが保有する全ての情報資産に対し「リスクアセスメント」が実施され、適切な「リスクコントロール」が実施されているかどうか確認します。また、「情報資産」とは、企業や組織が管理し、保管が要求されている情報や、それが含まれている媒体です。そのため、情報システムや、その構成要素、情報システムの内外、ディジタル・紙媒体など形式を問わず、企業や組織が保有している全ての情報が、監査対象となります。
◆確認問題
ある事業者において、情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として、最も適切なものはどれか。
出典:平成31年度 春期 ITパスポート試験公開問題 問50
ア.情報資産を管理している情報システム
イ.情報システム以外で保有している情報資産
ウ.情報システムが保有している情報資産
エ.保有している全ての情報資産
◆確認問題の解答(エ)、解説・・・事業者が保有している全ての情報資産になるため、(エ)が正解になります。
-4.jpg)
「共同レビュー」とは、顧客(ユーザ)と開発者の間で、成果物の内容が顧客(ユーザ)の要求を満たしているか確認することです。
「ウォータフォール開発」では、顧客(ユーザ)の要件について、開発者が把握・理解できない状態で、「実装工程」に進んでしまうという問題があります。その問題点を解消させるため、顧客(ユーザ)と開発者の間で、設計書の記載内容について確認(共同レビュー)をする事が必要であると言われています。
◆確認問題
システムの利用者と開発者の間で、システムの設計書の記載内容が利用者の要求を満たしていることを確認するために実施するものはどれか。
出典:平成31年度 春期 ITパスポート試験公開問題 問51
ア. 共同レビュー
イ. 結合テスト
ウ. シミュレーション
エ. 進捗会議
◆確認問題の解答(ア)、解説・・・各選択肢の解説は、次の通り。
- ア:正解です。
- イ:「結合テスト」とは、モジュールごとに対しテストを行う「単体テスト」の次工程で行うテストであり、複数のモジュールを組み合わせて検証を行うテストのことです。
- ウ:「シミュレーション」とは、問題解決手法の一種であり、予測、計画策定のため、現実のモデルを作成し、模擬実験を行うことです。
- エ:「進捗会議」とは、システム開発の進捗状況を確認するための会議です。