情報処理安全確保支援士試験 2010年 春期 午前2 問25
“情報セキュリティ監査基準”の位置付けはどれか。
ア:監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり,監査人の規範である。
イ:情報資産を保護するためのベストプラクティスをまとめたものであり,監査マニュアル作成の手引書である。
ウ:情報セキュリティ監査業務の品質を確保し,有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。(正解)
エ:組織体が効果的な情報セキュリティマネジメント体制を構築し,適切なコントロールを整備,運用するための実践規範である。
解説
“情報セキュリティ監査基準”の位置付けはどれか【午前2 解説】
要点まとめ
- 結論:情報セキュリティ監査基準は監査人の行為規範であり、監査の品質確保と効率的実施を目的としています。
- 根拠:監査基準は監査人が守るべきルールや手順を示し、監査の信頼性と一貫性を担保します。
- 差がつくポイント:監査基準と監査マニュアルや情報セキュリティ管理規範の違いを正確に理解することが重要です。
正解の理由
選択肢ウは「情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範」と明確に述べており、監査基準の本質を正確に表現しています。監査基準は監査人が従うべきルールや手順を示し、監査の質を保証するための指針であるため、ウが正解です。
よくある誤解
監査基準を情報資産の保護策や組織の管理体制の規範と混同しやすいですが、監査基準はあくまで監査人の行為規範であり、監査の方法論に関するものです。
解法ステップ
- 問題文の「情報セキュリティ監査基準」の役割を確認する。
- 監査基準が監査人の行為規範であることを理解する。
- 選択肢の内容を「監査人の規範」「管理体制の規範」「監査マニュアル」などで分類する。
- 監査基準の目的が「監査の品質確保と効率的実施」である選択肢を選ぶ。
- 他の選択肢が監査基準の定義と異なる点を確認し除外する。
選択肢別の誤答解説ステップ
- ア:監査人の規範という点は合っているが、「情報資産の監査を行う際の判断尺度」と表現し、監査基準の目的を狭く捉えている。
- イ:情報資産保護のベストプラクティスや監査マニュアルの手引書は監査基準とは異なる。
- ウ:監査基準の正しい定義であり、監査人の行為規範として品質確保と効率的監査を目的としている。
- エ:組織の情報セキュリティマネジメント体制の規範であり、監査基準ではない。
補足コラム
情報セキュリティ監査基準は、監査人が監査を行う際の行動指針や手続きの標準を示します。これに対し、監査マニュアルは具体的な監査手順の詳細を記載したもので、監査基準よりも実務的な内容です。また、情報セキュリティマネジメント規範は組織のセキュリティ管理体制の構築・運用に関する規範であり、監査基準とは役割が異なります。
FAQ
Q: 情報セキュリティ監査基準と監査マニュアルの違いは何ですか?
A: 監査基準は監査人の行為規範や監査の品質確保のための指針であり、監査マニュアルは具体的な監査手順や方法を詳細に示したものです。
A: 監査基準は監査人の行為規範や監査の品質確保のための指針であり、監査マニュアルは具体的な監査手順や方法を詳細に示したものです。
Q: 監査基準は誰が守るべきものですか?
A: 監査基準は情報セキュリティ監査を行う監査人が守るべき行為規範です。
A: 監査基準は情報セキュリティ監査を行う監査人が守るべき行為規範です。
Q: 情報セキュリティマネジメント規範と監査基準は同じですか?
A: いいえ。マネジメント規範は組織のセキュリティ管理体制に関する規範であり、監査基準は監査人の行為規範です。
A: いいえ。マネジメント規範は組織のセキュリティ管理体制に関する規範であり、監査基準は監査人の行為規範です。
関連キーワード: 情報セキュリティ監査基準, 監査人の行為規範, 監査品質, 監査マニュアル, 情報セキュリティマネジメント