ホーム > 情報処理安全確保支援士試験 > 2016年 春期
情報処理安全確保支援士試験 2016年 春期 午前2 問25
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的として,“システム管理基準” に示されているものはどれか。
ア:システム監査業務の品質を確保し,有効かつ効率的に監査を実施するため
イ:情報システムが,組織体の目的を実現するように安全,有効かつ効率的に機能するため(正解)
ウ:情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう,リスクマネジメントに基づくコントロールの整備・運用の状況を評価するため
エ:リスクに対するコントロールをシステム監査人が評価し,保証又は助言を行い,ITガバナンスの実現に寄与するため
解説
システム管理基準の目的とは【午前2 解説】
要点まとめ
- 結論:システム管理基準の目的は、情報システムが組織の目的を達成するために安全かつ効率的に機能することです。
- 根拠:基準はリスクに対するコントロールを整備・運用し、システムの安全性と有効性を確保することを求めています。
- 差がつくポイント:監査やリスク評価ではなく、システムの運用管理そのものの目的に着目することが重要です。
正解の理由
選択肢イは「情報システムが組織体の目的を実現するように安全、有効かつ効率的に機能するため」と明確にシステム管理基準の目的を示しています。システム管理基準は、情報システムの運用管理に関するルールや手順を定め、リスクをコントロールしてシステムの信頼性と効率性を確保することを目的としています。したがって、組織の目的達成に直結するシステムの安全性と効率性の維持が最も適切な表現です。
よくある誤解
システム管理基準の目的を「監査」や「リスク評価」と混同しがちですが、これらは監査基準やリスクマネジメントの役割であり、システム管理基準の直接的な目的ではありません。
解法ステップ
- 問題文の「システム管理基準」に注目し、その目的を問うていることを確認する。
- 選択肢の内容が「システム管理基準の目的」に合致しているかを判断する。
- 「監査」や「リスク評価」などのキーワードが含まれる選択肢は、別の基準や役割に該当する可能性が高いと考える。
- 「情報システムが組織の目的を実現するために安全かつ効率的に機能する」という表現が最も適切であると判断する。
- 選択肢イを正解として選ぶ。
選択肢別の誤答解説
- ア: システム監査業務の品質確保は「システム監査基準」の目的であり、システム管理基準の目的ではありません。
- イ: 正解。情報システムの安全性と効率性を確保し、組織の目的達成を支援することがシステム管理基準の目的です。
- ウ: リスクマネジメントに基づくコントロールの評価はリスクマネジメントや監査の役割であり、システム管理基準の直接的な目的ではありません。
- エ: システム監査人による評価や助言は監査基準の役割であり、システム管理基準の目的とは異なります。
補足コラム
システム管理基準は、情報システムの運用管理に関するルールや手順を定めるもので、システムの安定稼働や障害対応、変更管理などを含みます。一方、システム監査基準は監査の品質確保を目的とし、リスクマネジメントはリスクの特定・評価・対応を体系的に行う枠組みです。これらの基準は相互に関連しますが、目的が異なるため混同しないことが重要です。
FAQ
Q: システム管理基準とシステム監査基準の違いは何ですか?
A: システム管理基準はシステムの運用管理に関するルールを定めるのに対し、システム監査基準は監査業務の品質確保と実施方法を定めています。
A: システム管理基準はシステムの運用管理に関するルールを定めるのに対し、システム監査基準は監査業務の品質確保と実施方法を定めています。
Q: なぜリスクマネジメントはシステム管理基準の目的ではないのですか?
A: リスクマネジメントはリスクの特定・評価・対応を行う枠組みであり、システム管理基準はそのリスクに対処するための運用管理ルールを定めるものだからです。
A: リスクマネジメントはリスクの特定・評価・対応を行う枠組みであり、システム管理基準はそのリスクに対処するための運用管理ルールを定めるものだからです。
関連キーワード: システム管理基準, 情報システム運用, リスクコントロール, システム監査, ITガバナンス