▼AP令和3年度春期:問58 情報セキュリティ管理基準(平成28年)を基に、情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
ア Webページに対して、マルウェア検出のためのスキャンを行っている。
イ マルウェア感染によって被害を受けた事態を想定して、事業継承計画を策定している。
ウ マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用している。
エ マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い、必要に応じて修正コードを適用し、脆弱性の低減を図っている。
▼上に出てきた用語の意味
【システム監査 information systems audit】組織内で用いられている情報システムの信頼性や安全性、効率性などを独立した立場で点検・評価し、問題点の指摘や改善策の勧告を行うこと。そのような業務を行う専門家や職種を「システム監査人」という。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
中分類12:システム監査 >31. システム監査 >(2) システム監査 >② システム監査の流れ:システム監査は、監査計画の策定、監査の実施(予備調査、本調査、評価、結論)、監査報告とフォローアップという流れで行われる。
〔用語例〕システム監査報告書
▼比較:FEのシラバスでの位置付け
中分類16:システム監査 >1.システム監査 >(2)システム監査の目的と手順 >② システム監査の流れ:システム監査は、監査計画の策定、監査の実施、監査報告とフォローアップという流れで行われる。
〔用語例〕監査報告書の作成と提出
解答ウ