ソフトウェア開発プロセスにおけるセキュリティを確保するための取組みについて、JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)の附属書Aの管理策に照らして監査を行った。
判明した状況のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。
| ア | ソフトウエア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施している。 |
| イ | ソフトウエア開発は、セキュリティ確保に配慮した開発環境において行っている。 |
| ウ | ソフトウエア開発を外部委託している場合、外部委託先による開発活動の監督・監視において、セキュリティ確保の観点を考慮している。 |
| エ | パッケージソフトウエアを活用した開発において、セキュリティ確保の観点から、パッケージソフトウェアの変更は必要な変更に限定している。 |
答え ア
【解説】
| ア | ソフトウエア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施しているのは、監査報告書に指摘事項として記載すべきです。 ソフトウェアのセキュリティ機能に確認は設計段階から行うべきです。 |
| イ | ソフトウエア開発は、セキュリティ確保に配慮した開発環境において行っているのは妥当です。 |
| ウ | ソフトウエア開発を外部委託している場合、外部委託先による開発活動の監督・監視において、セキュリティ確保の観点を考慮しているのは妥当です。 |
| エ | パッケージソフトウエアを活用した開発において、セキュリティ確保の観点から、パッケージソフトウェアの変更は必要な変更に限定しているのは妥当です。 |
【キーワード】
・システム監査報告書
- システム監査報告書
システム監査の内容について記述したもので、実施した監査の対象、概要、意見(保証または助言)、制約や除外事項、指摘事項、改善勧告につて、監査証拠と関係を示し、システム監査人が作成し、監査の依頼者に提出します。
もっと、「システム監査報告書」について調べてみよう。
戻る
一覧へ
次へ