経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(ver1.0)”における、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言的の監査)の実施に関する記述のうち、適切なものはどれか。
ア | 同じ監査対象に対して情報セキュリティ監査を実施する場合、保証型の監査から手がけ、保証が得られた後に助言型の監査に切り替えなければならない。 |
イ | 情報セキュリティ監査において、保証型の監査と助言型の監査は排他的であり、監査人はどちらで監査を実施するかを決定しなければならない。 |
ウ | 情報セキュリティ監査を保証型で実施するか助言型で実施するかは、監査要請者のニーズによって決定するのではなく、監査人の責任において決定する。 |
エ | 不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を開示することが有用である。 |
答え エ
【解説】
“情報セキュリティ監査基準 実施基準ガイドライン(ver1.0)”の「助言型の監査と保証型の監査の選択」に「利害関係者の信頼獲得についての検討」として『不特定多数の利害関係者が関与する公共性の高い事業又はシステム等、あるいは不特定多数の利害関係者の情報を取扱う場合であって高い機密性の確保が要求される事業又はシステム等については、保証型の監査を定期的に(例えば、1年ごと)利用し、その監査の結果を開示することによって利害関係者の信頼を得ることが望ましい。』と書かれています。
【キーワード】
・情報セキュリティ監査基準