にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

まいにちセキュマネ 平成31年春午前1問題解説 問37 問38 問39 

監査の問題です。

#KEEP LEARNING   #STAY HOME

f:id:koharuwest:20200505102326p:plain

情報処理技術者試験 セキュリティマネジメント平成31
年春午前
問題(全50問)を解いていきます。

※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。

問題の解き
方や考え方をわかりやすく、解説してみる
連載です。

※問題の引用についてはIPAのルールを遵守しています。

 

問37
経営者が社内のシステム監査人の外観上の独立性を担
保とするために講じる措置として、最も適切なものは
どれか。

ア システム監査人にITに関する継続的学習を義務
  付ける。
イ システム監査人に必要な知識や経験を定めて公表
  する。
ウ システム監査人の監査技法研修制度を設ける。
エ システム監査人の所属部署を内部監査部門とする。

問38
ソフトウェア開発プロセスにおけるセキュリティを確
保するための取組について、JIS Q 27001:2014(情報
セキュリティマネジメントシステム−要求事項)の附
属書Aの管理策に照らして監査を行った。判明した状
況のうち、監査人が監査報告書に指摘事項として記載
すべきものはどれか。

ア ソフトウェア開発におけるセキュリティ機能の試
  験は、開発期間が終了した後に実施している。
イ ソフトウェア開発は、セキュリティ確保に配慮し
  た開発環境において行っている。
ウ ソフトウェア開発を外部委託している場合、外部
  委託先による開発活動の監督・監視において、セ
  キュリティ確保の観点を考慮している。
エ パッケージソフトウェアを活用した開発において、
  セキュリティ確保の観点から、パッケージソフト
  ウェアの変更は必要な変更に限定している。


問39
システム監査報告書に記載する指摘事項に関する説明
のうち、適切なものはどれか。

ア 監査証拠による裏付けの有無にかかわらず、監査
  人が指摘事項とする必要があると判断した事項を
  記載する。
イ 監査人が指摘事項とする必要があると判断した事
  項のうち、監査対象部門の責任者が承認した事項
  を記載する。
ウ 調査結果に事実誤認がないことを監査対象部門に
  確認した上で、監査人が指摘事項とする必要があ
  ると判断した事項を記載する。
エ 不備の内容や重要性は考慮せず、全てを漏れなく
  指摘事項として記載する。

 

 
(解答と解説)

 

 

問37
経営者が社内のシステム監査人の外観上の独立性を担
保とするために講じる措置として、最も適切なものは
どれか。

ア システム監査人にITに関する継続的学習を義務
  付ける。
イ システム監査人に必要な知識や経験を定めて公表
  する。
ウ システム監査人の監査技法研修制度を設ける。
エ システム監査人の所属部署を内部監査部門とする。

問38
ソフトウェア開発プロセスにおけるセキュリティを確
保するための取組について、JIS Q 27001:2014(情報
セキュリティマネジメントシステム−要求事項)の附
属書Aの管理策に照らして監査を行った。判明した状
況のうち、監査人が監査報告書に指摘事項として記載
すべきものはどれか。ダメダメな事項ってことです

ア ソフトウェア開発におけるセキュリティ機能の試
  験は、開発期間が終了した後に実施している。
イ ソフトウェア開発は、セキュリティ確保に配慮し
  た開発環境において行っている。
ウ ソフトウェア開発を外部委託している場合、外部
  委託先による開発活動の監督・監視において、
  キュリティ確保の観点を考慮している。
エ パッケージソフトウェアを活用した開発において、
  セキュリティ確保の観点から、パッケージソフト
  ウェアの変更は必要な変更に限定している。


問39
システム監査報告書に記載する指摘事項に関する説明
のうち、適切なものはどれか。

ア 監査証拠による裏付けの有無にかかわらず、監査
  人が指摘事項とする必要があると判断した事項を
  記載する。
イ 監査人が指摘事項とする必要があると判断した事
  項のうち、監査対象部門の責任者が承認した事項
  を記載する。
ウ 調査結果に事実誤認がないことを監査対象部門に
  確認した上で、監査人が指摘事項とする必要があ
  ると判断した事項を記載する。
エ 不備の内容や重要性は考慮せず、全てを漏れなく
  指摘事項として記載する。