システム監査の実施内容に関する記述のうち、適切なものはどれか。
ア | ISO 9001に基づく品質マネジメントシステムを、品質管理責任者が構築し運営する。 |
イ | 開発担当者が自ら開発したシステムの内容をテストする。 |
ウ | 情報システムのリスクに対するコントロールが適切に整備・運用されているかを、監査対象から独立した第三者が評価する。 |
エ | 専用のソフトウェアを使って、システム管理者がシステムのセキュリティホールを自ら検証する。 |
答え ウ
【解説】
システム監査では、システムを開発した場合、そのチェックは開発者以外の第三者が行うことを推奨しているので、適切なものは「情報システムのリスクに対するコントロールが適切に整備・運用されているかを、監査対象から独立した第三者が評価する。」(ウ)になります。
開発したものを開発した本人が評価を行うというのは、誤りに気付かないこともあるのであまりいい方法ではありません。
【キーワード】
・システム監査