A社では、自然災害などの際の事業継続を目的として、業務システムのデータベースのバックアップを取得している。
その状況について、“情報セキュリティ管理基準(平成28年)”に従って実施した監査結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア |
バックアップ取得手順書を作成し、取得担当者を定めていた。 |
イ |
バックアップを取得した電子記録媒体からデータベースを復旧する経験を、事前に定めたスケジュールに従って実施していた。 |
ウ |
バックアップを取得した電子記録媒体を、機密保持を含む契約を取り交わした外部の倉庫会社に委託管理していた。 |
エ |
バックアップを取得した電子記録媒体を、業務システムが稼働しているサーバの近くで保管していた。 |
答え エ
【解説】
ア |
バックアップ取得手順書を作成し、取得担当者を定めていのは適切です。(×) |
イ |
バックアップを取得した電子記録媒体からデータベースを復旧する経験を、事前に定めたスケジュールに従って実施しているのは適切です。(×) |
ウ |
バックアップを取得した電子記録媒体を、機密保持を含む契約を取り交わした外部の倉庫会社に委託管理しているのは適切です。(×) |
エ |
バックアップを取得した電子記録媒体を、業務システムが稼働しているサーバの近くで保管していているのは自然災害時の事業継続の対策として不適切です。(○) |
【キーワード】
・情報セキュリティ管理基準
【キーワードの解説】
- 情報セキュリティ管理基準
組織の保有する「情報資産」のリスクマネジメントが有効に行われているかどうかという点を評価するための「情報セキュリティ監査」にあたっての判断の尺度となるものです。
JISX 5080:2002(情報技術 - 情報セキュリティマネジメントの実践のための規範)をベースに策定されていて、132のコントロールとそれを詳細化した952のサブコントロールから構成されています。
もっと、「情報セキュリティ管理基準」について調べてみよう。
戻る
一覧へ
次へ
|