ソフトウェア開発プロセスにおけるセキュリティを確保するための取組みについて、JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)の附属書Aの管理策に照らして監査を行った。
判明した状況のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。
ア | ソフトウエア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施している。 |
イ | ソフトウエア開発は、セキュリティ確保に配慮した開発環境において行っている。 |
ウ | ソフトウエア開発を外部委託している場合、外部委託先による開発活動の監督・監視において、セキュリティ確保の観点を考慮している。 |
エ | パッケージソフトウエアを活用した開発において、セキュリティ確保の観点から、パッケージソフトウェアの変更は必要な変更に限定している。 |
答え ア
【解説】
ア | ソフトウエア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施しているのは、監査報告書に指摘事項として記載すべきです。 ソフトウェアのセキュリティ機能に確認は設計段階から行うべきです。 |
イ | ソフトウエア開発は、セキュリティ確保に配慮した開発環境において行っているのは妥当です。 |
ウ | ソフトウエア開発を外部委託している場合、外部委託先による開発活動の監督・監視において、セキュリティ確保の観点を考慮しているのは妥当です。 |
エ | パッケージソフトウエアを活用した開発において、セキュリティ確保の観点から、パッケージソフトウェアの変更は必要な変更に限定しているのは妥当です。 |
【キーワード】
・システム監査報告書