問題
問38 情報セキュリティ監査の説明として,最も適切なものはどれか。
選択肢
- ア一定の基準に基づいてITシステムの利活用に係る検証・評価を行い,ガバナンスの適切性などに対する保証や改善のための助言を行うもの
- イコンピュータの盗難や不正な持出しを物理的に防止し,情報セキュリティを確保するためのツール
- ウ組織体の価値及び組織体への信頼を向上させるために,組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動
- エ組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価
解説
正解:エ
概要
情報セキュリティ監査とは、組織の情報資産を守るための管理や対策が適切に行われているかを第三者的な立場で確認・評価する活動です。この問題は、その目的と内容を正しく説明したものを問うています。
正解の理由
情報セキュリティ監査は、組織の情報資産を保護するためのリスクマネジメントや管理策が適切に実施されているかを検証・評価する活動です。監査によって問題点を明らかにし、改善につなげることを目的としています。その説明に当てはまるのは、情報資産に関するリスクマネジメントの実施状況を評価する内容であるエです。
各選択肢の解説
ア(×): 一定の基準に基づいてITシステムの利用状況を検証・評価し、ガバナンスの適切性などについて保証や助言を行う活動はシステム監査を指します。情報セキュリティに限定した監査ではないため、この問題の説明としては誤りです。
イ(×): コンピュータの盗難や不正な持ち出しを物理的に防止するツールは、物理的セキュリティ対策に関する説明です。情報セキュリティ監査の定義ではなく、具体的なセキュリティ対策の一例に過ぎないため誤りです。
ウ(×): 組織の価値や信頼を高めるためにIT戦略や方針を策定し、その実現を図る活動はITガバナンスの説明です。情報セキュリティ監査とは目的や内容が異なるため誤りです。
エ(〇): 情報セキュリティ監査とは、組織の情報資産を守るためのリスクマネジメントやセキュリティ対策が適切に実施されているかを検証・評価する活動です。情報セキュリティ管理の有効性を確認するための監査であるため正解です。
ポイント
情報セキュリティ監査は「情報資産のリスク管理や対策が適切か」を評価する監査です。システム監査やITガバナンスとの違いを整理して覚えることが重要です。