平成31年春期試験問題 問50
問50解説へ
ある事業者において,情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として,最も適切なものはどれか。
- 情報資産を管理している情報システム
- 情報システム以外で保有している情報資産
- 情報システムが保有している情報資産
- 保有している全ての情報資産
広告
解説
情報セキュリティ監査は、独立かつ専門的な立場から、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を与えるものです。
情報セキュリティ監査では、組織が保有する全ての情報資産について、リスクアセスメントが行われ、適切なリスクコントロールが実施されているかどうかが確認されます。情報資産とは、組織が管理し、維持を要求されている情報、及びそれが含まれている媒体の集合です。つまり、情報システムやその構成要素はもちろんのこと、情報システムの内外、デジタル・紙媒体などの形式を問わず、全ての情報が監査対象となります。
したがって正解は「エ」です。
情報セキュリティ監査では、組織が保有する全ての情報資産について、リスクアセスメントが行われ、適切なリスクコントロールが実施されているかどうかが確認されます。情報資産とは、組織が管理し、維持を要求されている情報、及びそれが含まれている媒体の集合です。つまり、情報システムやその構成要素はもちろんのこと、情報システムの内外、デジタル・紙媒体などの形式を問わず、全ての情報が監査対象となります。
したがって正解は「エ」です。
広告