応用情報技術者試験令和6年春午前問59 解説付き過去問

問題

システム監査基準(令和5年)によれば、システム監査において、監査人が一定の基準に基づいて総合的に点検・評価を行う対象とするものは、情報システムのマネジメント、コントロールと、あと一つはどれか。

ガバナンス

コンプライアンス

サイバーレジリエンス

モニタリング

システム監査基準（令和5年）では、システム監査の対象として、監査人が一定の基準に基づいて総合的に点検・評価を行う対象を以下の3つに分類しています。

情報システムのガバナンス
経営層が果たすべき役割として、情報システムに関する戦略の策定・実行状況、組織体制や責任の明確化、リスク管理体制の整備などを含む統治活動の適切性が対象となります。
情報システムのマネジメント
情報システムを有効かつ効率的に運用・開発するための管理活動が対象です。たとえば、プロジェクトマネジメント、サービスマネジメント、情報資産管理、変更管理などが含まれます。
情報システムのコントロール
情報の完全性、正確性、機密性、可用性などを確保するための具体的な管理策（セキュリティ対策、アクセス制御、監査証跡など）を含みます。

このように、システム監査の評価対象は「情報システムのガバナンス」「マネジメント」「コントロール」の3つであり、いずれもシステムの有効性・効率性・信頼性を確保するための重要な観点となります。