情報セキュリティマネジメント試験(SG)の「システム監査」分野のオリジナル予想問題を4問、正解と解説つきで無料公開しています。登録なしで読めます。
※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。
情報システムが適切に管理・運用されているかを第三者の目で点検する分野です。
システム監査は、独立した立場の監査人が「あるべき状態(基準)」と実態を照らし、証拠に基づいて評価します。流れは計画→予備調査→本調査→評価・報告→フォローアップで、集めた証拠は監査調書として残します。
ポイントは“問題のある状態=指摘事項”を客観的に見つけ、改善を促すことです。監査人は運用の当事者から独立していること(自分が作った仕組みを自分で監査しない)が求められます。SGでは「指摘すべきはどれか」を選ばせる問題が典型です。
システム監査人に求められる要件として最も適切なものはどれか。
正解イ。監査人には独立性と客観性が求められる。運用担当の兼務や利害関係があると独立性を損なう。監査結果は経営者等へ報告する。
システム監査において,処理の正当性を事後に追跡・検証できるように記録された証拠を何というか。
正解ア。監査証跡(オーディットトレイル)は,誰がいつ何をしたかを後から追跡できる記録。ログの完全性・追跡可能性が重要。
システム監査の信頼性を確保するうえで,監査人の「独立性」に反するものはどれか。
正解イ。自分の所属部門を監査するのは利害関係があり独立性・客観性を損なう。監査人は被監査対象から独立している必要がある。
システム監査において監査人に求められる要件として,最も適切なものはどれか。
正解ア。システム監査人には独立性と客観性が求められ,監査対象の業務遂行や是正の実施を兼ねてはならない(自己監査の禁止)。是正は被監査部門が行い,監査人は評価・助言・フォローアップを担う。