情報セキュリティ管理基準(平成28年)を基に、情報システム環境におけるマルウェア対策の実施状況について監査を実施した。 判明したシステム運用担当者の対応状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
| ア | Webページに対して、マルウェア検出のためのスキャンを行っている。 |
| イ | マルウェア感染によって被害を受けた事態を想定して、事業継続計画を策定している。 |
| ウ | マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用している。 |
| エ | マルウェアに付け込まれる可能性のある |
答え ウ
【解説】
| ア | Webページに対して、マルウェア検出のためのスキャンを行っているのは、マルウェア対策として適切です。(×) |
| イ | マルウェア感染によって被害を受けた事態を想定して、事業継続計画を策定しているのは、マルウェア対策として適切です。(×) |
| ウ | マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用しているのは、マルウェア対策として不適切で、監査報告書に記載すべきです。(〇) |
| エ | マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い、必要に応じて修正コードを適用し、脆弱性の低減を図っているのは、マルウェア対策として適切です。(×) |
【キーワード】
・情報セキュリティ管理基準
- 情報セキュリティ管理基準
組織の保有する「情報資産」のリスクマネジメントが有効に行われているかどうかという点を評価するための「情報セキュリティ監査」にあたっての判断の尺度となるものです。
JISX 5080:2002(情報技術 - 情報セキュリティマネジメントの実践のための規範)をベースに策定されていて、132のコントロールとそれを詳細化した952のサブコントロールから構成されています。
もっと、「情報セキュリティ管理基準」について調べてみよう。
戻る
一覧へ
次へ