今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は4.10章:情報セキュリティ監査及びシステム監査のCheck問題です。
【Q1】情報セキュリティ監査によって期待される効果について述べよ。
①情報セキュリティ対策の欠陥箇所の発見
②情報セキュリティマネジメントの確立
③顧客や社会からの信頼の獲得
【Q2】情報セキュリティ管理基準の概要について述べよ。
組織体が効果的な情報セキュリティマネジメント体制(ISMS)を構築し、適切なコントロールを整備、運用するための国際規格。
マネジメント基準と管理策基準から構成される。
【Q3】情報セキュリティ監査基準の概要について述べよ。
情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範であり、次の基準から構成される。
①一般基準
②実施基準
③報告基準
【Q4】情報セキュリティ監査企業台帳は何を目的として公開されているか。
監査を受けたいがドゴに依頼したらよいのかわからないという疑問を払拭し、国内に情報セキュリティ監査の浸透をはかるため。
【Q5】保証型監査、助言型監査について述べよ。
保証型監査は情報セキュリティマネジメントが確立され、大きな欠陥がないことを保証する。
助言型監査は情報セキュリティマネジメントにおける欠陥箇所を発見して改善する活動を繰り返すボトムアップ型のアプローチ。
【Q6】ISMS適合性評価制度と情報セキュリティ監査制度の有効な活用方法について述べよ。
情報セキュリティ監査によって問題点を解決しながらレベルを高め、ある程度のレベルまで達したらISMS認証取得を目指す進め方が望ましい。
【Q7】システム監査の目的とは何か。
システム監査は情報システムにまつわるリスクに適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を目的とする。
【Q8】システム管理基準の骨子について述べよ。
①ITガバナンス
②ITガバナンスにおけるEDMモデル
③ITガバナンスにおける6つの法則
:責任・戦略・取得・パフォーマンス・適合・人間行動
私が使っているのは2022年版のテキストですが、2024年版も出ています。