経済産業省“情報セキュリティ監査基準実施基準ガイドライン (Ver1.0) ”における、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査 (保証型の監査) と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査 (助言型の監査) の実施に関する記述のうち、適切なものはどれか。
ア 同じ監査対象に対して情報セキュリティ監査を実施する場合、保証型の監査から手がけ、保証が得られた後に助言型の監査に切り替えなければならない。
イ 情報セキュリティ監査において、保証型の監査と助言型の監査は排他的であり、監査人はどちらで監査を実施するかを決定しなければならない。
ウ 情報セキュリティ監査を保証型で実施するか助言型で実施するかは、監査要請者のニーズによって決定するのではなく、監査人の責任において決定する。
エ 不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を開示することが有用である。
エ
ここに説明文が入ります。
ア 2.情報セキュリティ監査の目的設定の項番2.5 前提条件の検討に以下の記載がある。
「かかる前提を十分に踏まえた上で、実際に採用されているセキュリティ対策の内容と水準を考慮して、助言型の監査とするか、保証型の監査とするか、あるいは併用型の監査とするかの決定は慎重に行われるべきである。」
イ 2.情報セキュリティ監査の目的設定の項番2.1 に以下の記載がある。
「この2つの目的は排他的なものではないため、保証と助言の2つを監査の目的とすることができる。」
ウ 2.情報セキュリティ監査の目的設定の項番2.2 に以下の記載がある。
「情報セキュリティ監査の目的は、基本的には監査依頼者又は被監査側のニーズによって決定されるが、情報セキュリティ監査人は、監査の実施に先立って、保証を目的とするかあるいは助言を目的とするかについて、監査要請者又は被監査側と調整を重ねておく必要がある。」
エ 正しい。2.情報セキュリティ監査の目的設定の項番2.7 利害関係者の信頼獲得についての検討に以下の記載がある。
「不特定多数の利害関係者が関与する公共性の高い事業又はシステム等、あるいは不特定多数の利害関係者の情報を取扱う場合であって高い機密性の確保が要求される事業又はシステム等については、保証型の監査を定期的に (例えば、1 年ごと) 利用し、その監査の結果を開示することによって利害関係者の信頼を得ることが望ましい。」
| 問56 | 目次 | 問58 |