答え エ
【解説】
JIS Q 27002:2014(情報セキュリティ管理策の実施のための規範)では、運用システムに対する監査活動の影響を最小限にするための管理策及び実施の手続きとして以下のように書かれています。
- 管理策
運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意することが望ましい。
- 実施の手引
この管理策の実施については、次の事項を守ることが望ましい。
a) システム及びデータへのアクセスに関する監査要求事項は、適切な管理層の同意を得る。
b) 技術監査における試験の範囲を、合意し、管理する。
c) 監査における試験は、ソフトウェア及びデータの読出し専用のアクセスに限定する。
d) 読出し専用以外のアクセスは、システムファイルの隔離された複製に対してだけ許可し、それらの複製は、監査が完了した時点で消去するか、又は監査の文書化の要求の下でそのようなファイルを保存する義務があるときは、適切に保護する。
e) 特別又は追加の処理に関する要求事項を特定し、合意する。
f) 監査における試験がシステムの可用性に影響する可能性がある場合、こうした試験は営業時間外に実施する。
g) 参照用の証跡を残すために、全てのアクセスを監視し、ログをとる。