システム監査 (全54問中2問目)
No.2
システム監査で用いる判断尺度の選定方法に関する記述として,最も適切なものはどれか。
出典:令和6年春期 問48
- システム監査ではシステム管理基準の全項目をそのまま使用しなければならない。
- システム監査のテーマに応じて,システム管理基準以外の基準を使用してもよい。
- システム監査のテーマによらず,システム管理基準以外の基準は使用すべきでない。
- アジャイル開発では,システム管理基準は使用すべきでない。
分類
マネジメント系 » システム監査 » システム監査
正解
イ
解説
監査の判断尺度とは、システム監査人が監査対象を点検・評価・検証する際に使用する客観的な基準であり、その状態の適切・不適切性やその度合いを判断するための拠り所となる資料です。
システム監査に当たっては、原則としてはシステム管理基準が判断尺度となりますが、情報セキュリティの監査を目的とするときは情報セキュリティ管理基準、さらにIoTシステムのセキュリティを監査する場合はIoTセキュリティガイドラインなど、監査テーマに応じた基準・ガイドライン等を判断尺度として利用することが望まれます。必ずしも基準・ガイドライン等の全項目を使用する必要はなく、必要に応じて適宜選択した部分だけを判断尺度として利用することもできます。
システム監査に当たっては、原則としてはシステム管理基準が判断尺度となりますが、情報セキュリティの監査を目的とするときは情報セキュリティ管理基準、さらにIoTシステムのセキュリティを監査する場合はIoTセキュリティガイドラインなど、監査テーマに応じた基準・ガイドライン等を判断尺度として利用することが望まれます。必ずしも基準・ガイドライン等の全項目を使用する必要はなく、必要に応じて適宜選択した部分だけを判断尺度として利用することもできます。
- 全項目を使用する必要はありません。監査のニーズによっては、基準等の一部分や、組織体の状況に適合するように適宜選択した項目群を判断尺度とすることもできます。
- 正しい。監査テーマに応じて、他のガイドラインや組織体独自の諸規定やマニュアルを判断尺度として用いることもできます。
- 監査テーマによっては、システム管理基準以外の基準を使用したほうが効果的な場合があり、そのような場合は他の基準等を判断尺度として利用することもできます。
- システム管理基準は、アジャイル開発の監査における判断尺度として用いることもできます。ただし、アジャイル開発では詳細なドキュメントが作成されないなどの特徴があるため、監査を行うに当たりそれに応じた特別な考慮が必要となります。