“情報セキュリティ監査基準”における保証型監査と助言型監査に関する記述のうち、適切なものはどれか。
ア | 助言型監査とは、監査上の判断尺度として情報セキュリティ管理基準を利用し、情報セキュリティ上の問題点の指摘と改善提言は監査人の自由裁量で行う監査のことである。 |
イ | 助言型監査とは、監査対象の情報セキュリティに関するマネジメントやコントロールの適切な運用を目的として、情報セキュリティ上の問題点の検出と改善を命令する監査のことである。 |
ウ | 保証型監査とは、監査手続を実施した限りにおいて、監査対象の情報セキュリティに関するマネジメントやコントロールが適切であることを保証する監査のことである。 |
エ | 保証型監査とは、監査の結果としてインシデントが発生しないことをステークホルダに対して保証する監査のことである。 |
答え ウ
【解説】
ア | 問題点の指摘と改善提言を行うのは監査人の義務です。 |
イ | 監査人は改善の命令ではなく提言(助言)を行います。 |
ウ | 監査人が保証するのは監査を実施した範囲に限られます。 |
エ | 監査人の保証内容は情報セキュリティのリスクマネジメントやコントロールが適切であるということで、インシデントが発生しないことまでは保証できません。 |
【キーワード】
・情報セキュリティ監査基準