情報セキュリティ監査基準(Ver 1.0)における、情報セキュリティに保証を付与することを目的とした監査(保証型の監査)と、情報セキュリティに対して助言を行うことを目的とした監査(助言型の監査)とに関する記述のうち、適切なものはどれか。
| ア | 助言型の監査とは、監査上の判断の尺度として情報セキュリティ管理基準を利用するか否かにかかわらず、情報セキュリティ上の問題点の指摘と改善提言は監査人の自由裁量で行う監査のことである。 |
| イ | 助言型の監査とは、安佐対象の情報セキュリティに関するマネジメントやコントロールの適切な運用を目的として、情報セキュリティ上の問題点について改善を命令する監査のことである。 |
| ウ | 保証型の監査とは、監査手続を実施したかぎりにおいて、監査対象の情報セキュリティに関するマネジメントやコントロールが適切か否かを保証する監査のことである。 |
| エ | 保証型の監査とは、監査の結論としてインシデントが発生しないことをステークホルダに対して保証する監査のことである。 |
答え ウ
【解説】
「保証型の監査」と「助言型の監査」は以下のような違いがあります。
- 保証型の監査
監査の対象となる組織体の情報セキュリティに関するマネジメントやマネジメントにおけるコントロールが監査手続きを実施した限りにおいて適切である旨を伝達する監査です。 - 助言型の監査
監査対象となる組織体の情報セキュリティに関するマネジメントや、コントロールの改善を目的として、監査対象の情報セキュリティ上の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を行う監査です。
【キーワード】
・情報セキュリティ監査基準
- 情報セキュリティ監査基準
経済産業省により作成された情報セキュリティを監査するための基準です。
情報セキュリティ監査は、情報セキュリティのリスクマネジメントが効果的に実施され、リスクアセスメントに基づいたコントロールの整備、運用状況を監査人が独立的・専門的な立場から検証・評価を行い保証を与えたり、助言を行ったりします。
もっと、「情報セキュリティ監査基準」について調べてみよう。
戻る
一覧へ
次へ