監査の問題です。
#KEEP LEARNING #STAY HOME
情報処理技術者試験 セキュリティマネジメント平成31
年春午前問題(全50問)を解いていきます。
※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。
問題の解き方や考え方をわかりやすく、解説してみる
連載です。
※問題の引用についてはIPAのルールを遵守しています。
問37
経営者が社内のシステム監査人の外観上の独立性を担
保とするために講じる措置として、最も適切なものは
どれか。
ア システム監査人にITに関する継続的学習を義務
付ける。
イ システム監査人に必要な知識や経験を定めて公表
する。
ウ システム監査人の監査技法研修制度を設ける。
エ システム監査人の所属部署を内部監査部門とする。
問38
ソフトウェア開発プロセスにおけるセキュリティを確
保するための取組について、JIS Q 27001:2014(情報
セキュリティマネジメントシステム−要求事項)の附
属書Aの管理策に照らして監査を行った。判明した状
況のうち、監査人が監査報告書に指摘事項として記載
すべきものはどれか。
ア ソフトウェア開発におけるセキュリティ機能の試
験は、開発期間が終了した後に実施している。
イ ソフトウェア開発は、セキュリティ確保に配慮し
た開発環境において行っている。
ウ ソフトウェア開発を外部委託している場合、外部
委託先による開発活動の監督・監視において、セ
キュリティ確保の観点を考慮している。
エ パッケージソフトウェアを活用した開発において、
セキュリティ確保の観点から、パッケージソフト
ウェアの変更は必要な変更に限定している。
問39
システム監査報告書に記載する指摘事項に関する説明
のうち、適切なものはどれか。
ア 監査証拠による裏付けの有無にかかわらず、監査
人が指摘事項とする必要があると判断した事項を
記載する。
イ 監査人が指摘事項とする必要があると判断した事
項のうち、監査対象部門の責任者が承認した事項
を記載する。
ウ 調査結果に事実誤認がないことを監査対象部門に
確認した上で、監査人が指摘事項とする必要があ
ると判断した事項を記載する。
エ 不備の内容や重要性は考慮せず、全てを漏れなく
指摘事項として記載する。
(解答と解説)
問37
経営者が社内のシステム監査人の外観上の独立性を担
保とするために講じる措置として、最も適切なものは
どれか。
ア システム監査人にITに関する継続的学習を義務
付ける。
イ システム監査人に必要な知識や経験を定めて公表
する。
ウ システム監査人の監査技法研修制度を設ける。
エ システム監査人の所属部署を内部監査部門とする。
問38
ソフトウェア開発プロセスにおけるセキュリティを確
保するための取組について、JIS Q 27001:2014(情報
セキュリティマネジメントシステム−要求事項)の附
属書Aの管理策に照らして監査を行った。判明した状
況のうち、監査人が監査報告書に指摘事項として記載
すべきものはどれか。ダメダメな事項ってことです
ア ソフトウェア開発におけるセキュリティ機能の試
験は、開発期間が終了した後に実施している。
イ ソフトウェア開発は、セキュリティ確保に配慮し
た開発環境において行っている。
ウ ソフトウェア開発を外部委託している場合、外部
委託先による開発活動の監督・監視において、セ
キュリティ確保の観点を考慮している。
エ パッケージソフトウェアを活用した開発において、
セキュリティ確保の観点から、パッケージソフト
ウェアの変更は必要な変更に限定している。
問39
システム監査報告書に記載する指摘事項に関する説明
のうち、適切なものはどれか。
ア 監査証拠による裏付けの有無にかかわらず、監査
人が指摘事項とする必要があると判断した事項を
記載する。
イ 監査人が指摘事項とする必要があると判断した事
項のうち、監査対象部門の責任者が承認した事項
を記載する。
ウ 調査結果に事実誤認がないことを監査対象部門に
確認した上で、監査人が指摘事項とする必要があ
ると判断した事項を記載する。
エ 不備の内容や重要性は考慮せず、全てを漏れなく
指摘事項として記載する。