情報セキュリティに係るリスクマネジメントが効果的に実施されるよう、リスクアセスメントに基づいた適切なコントロールの整備、運用状況を検証又は評価し、保証又は助言を与えるものであり、実施者に独立かつ専門的な立場が求められるものはどれか。
ア | コントロールセルフアセスメント(CSA) |
イ | 情報セキュリティ監査 |
ウ | 情報セキュリティ対策ベンチマーク |
エ | デジタルフォレンジックス |
答え イ
【解説】
ア | コントロールセルフアセスメント(Control Self Assessment、CSA、統制自己評価)は、リスクマネジメントまたは内部統制等に関する統制活動の有効性について、業務運営のなかで統制活動を担う人々が自らの活動を主観的に検証・評価する手法です。 |
イ | 情報セキュリティ監査は、情報セキュリティに係るリスクマネジメントが効果的に実施されるよう、リスクアセスメントに基づいた適切なコントロールの整備、運用状況を検証又は評価し、保証又は助言を与えるものです。 |
ウ | 情報セキュリティ対策ベンチマークは、システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断できるシステムです。 |
エ | デジタルフォレンジックス(digital forensics)は、不正アクセスや機密情報漏えいなどコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術のことです。 |
【キーワード】
・情報セキュリティ監査