ホーム > 情報処理安全確保支援士試験 > 2018年 秋期
情報処理安全確保支援士試験 2018年 秋期 午前2 問25
ある企業が、自社が提供するWebシステムのセキュリティについて、外部監査人による保証を受ける場合において、次の表のA~Dのうち、ITに係る保証業務の“三当事者”のそれぞれに該当する者の適切な組合せはどれか。
ア:A
イ:B
ウ:C(正解)
エ:D
解説
ITに係る保証業務の“三当事者”の適切な組合せ【午前2 解説】
要点まとめ
- 結論:IT保証業務の三当事者は「外部監査人(保証業務の実施者)」「当該企業の経営者(責任者)」「Webシステム利用者(報告書の想定利用者)」であり、選択肢ウが正解です。
- 根拠:保証業務は独立した外部監査人が実施し、システムの責任は企業経営者にあり、報告書は利用者に向けて作成されるためです。
- 差がつくポイント:保証業務の実施者と責任者の役割を正確に理解し、報告書の想定利用者を誤らないことが重要です。
正解の理由
選択肢ウは、保証業務の実施者が「外部監査人」、責任を負う者が「当該企業の経営者」、保証報告書の想定利用者が「Webシステム利用者」となっており、IT保証業務の基本的な三当事者の役割分担に合致しています。
外部監査人は独立した第三者として保証業務を行い、企業経営者がシステムのセキュリティ責任を持ち、報告書はシステム利用者のために作成されるため、この組合せが正しいです。
外部監査人は独立した第三者として保証業務を行い、企業経営者がシステムのセキュリティ責任を持ち、報告書はシステム利用者のために作成されるため、この組合せが正しいです。
よくある誤解
外部監査人が責任者や利用者になると誤解しやすいですが、監査人はあくまで保証業務の実施者であり、責任は企業側にあります。
また、報告書の想定利用者は経営者ではなく、実際にシステムを利用するユーザーである点も混同しやすいです。
また、報告書の想定利用者は経営者ではなく、実際にシステムを利用するユーザーである点も混同しやすいです。
解法ステップ
- 保証業務の実施者は独立した第三者である「外部監査人」であることを確認する。
- システムのセキュリティ責任者は「当該企業の経営者」であることを理解する。
- 保証報告書の想定利用者は「Webシステム利用者」であることを押さえる。
- 各選択肢の組合せと照らし合わせ、三者の役割が正しく対応しているかを検証する。
- 正しい組合せである選択肢ウを選ぶ。
選択肢別の誤答解説
- ア(A):保証業務の実施者が「Webシステム利用者」となっており、独立性が失われているため誤り。
- イ(B):責任者が「Webシステム利用者」となっており、実際の責任者である経営者と異なる。
- ウ(C):正解。保証業務の実施者が外部監査人、責任者が経営者、利用者がWebシステム利用者で正しい。
- エ(D):保証業務の実施者が「当該企業の経営者」となっており、独立性がないため誤り。
補足コラム
IT保証業務における三当事者の役割は、保証の信頼性を担保するために明確に区別されています。
特に外部監査人は独立性が求められ、企業内部の関係者が保証業務を行うことは利益相反となるため避けられます。
また、保証報告書は利用者がシステムの安全性を判断するための重要な資料であり、利用者の視点に立った内容であることが求められます。
特に外部監査人は独立性が求められ、企業内部の関係者が保証業務を行うことは利益相反となるため避けられます。
また、保証報告書は利用者がシステムの安全性を判断するための重要な資料であり、利用者の視点に立った内容であることが求められます。
FAQ
Q: なぜ外部監査人が保証業務の実施者でなければならないのですか?
A: 外部監査人は独立した第三者であり、客観的かつ公正な保証を提供するため、企業内部の人間では利益相反が生じるためです。
A: 外部監査人は独立した第三者であり、客観的かつ公正な保証を提供するため、企業内部の人間では利益相反が生じるためです。
Q: 保証報告書の想定利用者はなぜWebシステム利用者なのですか?
A: 利用者がシステムの安全性を判断し、安心して利用できるように保証報告書は利用者向けに作成されるためです。
A: 利用者がシステムの安全性を判断し、安心して利用できるように保証報告書は利用者向けに作成されるためです。
Q: 企業経営者が保証業務の実施者になることはありますか?
A: いいえ。経営者は責任者であり、保証業務の実施者は独立した外部監査人でなければなりません。
A: いいえ。経営者は責任者であり、保証業務の実施者は独立した外部監査人でなければなりません。
関連キーワード: IT保証業務, 外部監査人, セキュリティ責任者, 保証報告書, 三当事者, Webシステムセキュリティ