応用情報技術者試験 令和3年秋 午前問57 解説付き過去問
問題
経済産業省"情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)"における、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち、適切なものはどれか。
正解
解説
この問題は、情報セキュリティ監査の二つの主要な形態である保証型の監査と助言型の監査の特性と実施の目的に関する理解を試すものです。
- 保証型の監査と助言型の監査の違い
保証型の監査は、監査対象の情報セキュリティ対策が適切であるか否かについて、一定の保証を提供することが目的です。これにより、組織内外の関係者に対してその情報システムの信頼性が保証されます。
助言型の監査は、情報セキュリティ対策の改善を促すための具体的な提案や助言を提供することを目的としています。このタイプの監査は、主に内部的な改善に焦点を当てて行われるため、主に組織内の関係者に対して有用な情報を提供します。 - 監査の適用と実施の順序
情報セキュリティ監査を実施する際には、保証型の監査と助言型の監査が相補的に機能することがあります。保証型の監査で情報システムのセキュリティ状態に対する信頼を築き、その後に助言型の監査を通じてさらなる改善点を洗い出すという流れが考えられます。ただし、これらの監査は必ずしも一方が他方に優先するわけではなく、組織のニーズや目的に応じて適切なタイミングで選択されるべきです。
したがって、不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を公開することが有用であるという選択肢が正解です。これは、広範な関係者に対する信頼性の確保と透明性の提供が求められるためです。