2022年 秋期 システム監査技術者 午前 問7

JIS Q 27002:2014(情報セキュリティ管理策の実施のための規範)では、運用システムに対する監査活動の影響を最小限にするための管理策及び実施の手続きを定めている。 その中で守ることが最も望ましいとされていることはどれか。

 ア  運用システムに影響を与えないよう、監査におけるテストについては、アクセス監視やログ取得の対象外とする。
 イ  運用システムや当該システム上のデータへのアクセスに関する監査要求事項については、当該システムの雲洞担当者に限定して同意を得る。
 ウ  監査におけるテストがシステムのかのうせいに影響する可能性がある場合は、当該テストを営業時間内に実施する。
 エ  監査におけるテストでソフトウェアおよびデータに悪酢する場合は、呼び出し専用のアクセスに限定する。


答え エ


解説
JIS Q 27002:2014(情報セキュリティ管理策の実施のための規範)では、運用システムに対する監査活動の影響を最小限にするための管理策及び実施の手続きとして以下のように書かれています。

  • 管理策
    運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意することが望ましい。
  • 実施の手引
    この管理策の実施については、次の事項を守ることが望ましい。
    a) システム及びデータへのアクセスに関する監査要求事項は、適切な管理層の同意を得る。
    b) 技術監査における試験の範囲を、合意し、管理する。
    c) 監査における試験は、ソフトウェア及びデータの読出し専用のアクセスに限定する。
    d) 読出し専用以外のアクセスは、システムファイルの隔離された複製に対してだけ許可し、それらの複製は、監査が完了した時点で消去するか、又は監査の文書化の要求の下でそのようなファイルを保存する義務があるときは、適切に保護する。
    e) 特別又は追加の処理に関する要求事項を特定し、合意する。
    f) 監査における試験がシステムの可用性に影響する可能性がある場合、こうした試験は営業時間外に実施する。
    g) 参照用の証跡を残すために、全てのアクセスを監視し、ログをとる。


キーワード
・JIS Q 27002

キーワードの解説
  • JIS Q 27002(情報セキュリティマネジメントの実践のための規範)
    『情報技術 − セキュリティ技術 − 情報セキュリティマネジメントの実践のための規範』は、情報セキュリティマネジメントシステム(ISMS)の立ち上げ、実装し、運用するためのベストプラクティスをまとめた規格です。

もっと、「JIS Q 27002」について調べてみよう。

戻る 一覧へ 次へ