ITパスポートの過去問
平成28年度 秋期
マネジメント系 問54

システム監査は、第三者の目から客観的に
システムをチェックすることです。

1.【正解】
「監査業務の品質を確保」し、「有効かつ効率的に監査業務を実施するための基準」
ですので、監査基準の説明です。

2.
「リスクを低減するコントロール」
は、システム監査とは関係ないため不適切です。

3.
システム管理基準の説明です。

4.
「効果的な情報セキュリティマネジメント体制を構築するための基準」
は情報セキュリティ管理基準の説明です。
監査人の行動規範ではないため不適切です。

出題文で求められているのは、「システム監査人の行動規範」に関する『システム監査基準』です。

行動規範は、モラルやルールと呼ばれるものに近いため、設問の選択肢を読み込むことで正解を導き出すことができます。

それでは、正解と呼べる説明文を探してみましょう。



1.の「システム監査業務の品質を確保し、有効かつ効率的に監査業務を実施するための基準を定めたものである。」は、『システム監査業務の品質』確保を目的としていることが表記されており、まさしく『システム監査基準』と言うことができます。

そのため、1.が正解と考えられます。



2.の「システム監査において、情報システムの企画・開発・運用・保守というライフサイクルの中で、リスクを低減するコントロールを適切に整備、運用するための基準を定めたものである。」は、リスクを管理することを目的としていることが表記されており、全体を統括するシステム監査業務の中の一部分について、特に注意を促す目的で作成された文脈であることから、「システム監査人の行動規範」に関する説明とは言えません。



3.の「システム監査人が情報処理の現場での管理の適切性を判断するときの尺度として用いるための基準を定めたものである。」は、監査業務における評価の指標を示す文言であるため、「システム監査人の行動規範」に関する表現とは言えず、正解とは考えられません。



4.の「組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備して運用するための基準を定めたものである。」は、『情報セキュリティマネジメント体制』について説明された文書の説明となってしまっているため、「システム監査人の行動規範」に関する表現とは言えず、正解とは考えられません。

以上の理由から、正解は、1.と考えられます。

システム監査基準とは、適切にシステム監査するために、システム監査人に求められる振る舞いを定義したものです。

具体的な判断基準や監査手順は一切定義されていないことを押さえておきましょう。

１．システム監査基準の品質を確保して、有効かつ効率的に監査するための基準は、システム監査基準です。よって、正解です。

２．リスクコントロールはシステム管理基準で定められています。よって、誤りです。

３．システム監査基準には判断基準は定められていません。よって、誤りです。

４．セキュリティマネジメント基準は、情報セキュリティ管理基準で定められています。よって、誤りです。