H28 春  39問目

匿名さん  
(No.1)
タイトルの問題について質問です
"情報セキュリティ監査基準"に基づいて情報セキュリティ監査を実施する場合,監査の対象,及びコンピュータを導入していない部署における監査実施の要否の組合せのうち,最も適切なものはどれか。
とあり選択肢のエがなぜ間違っているのかがわかりません。
コンピュータがない部署の情報セキュリティ監査は不要だと思うのですが何か解釈が間違っているのでしょうか?
今のところこじつけですがコンピュータがない=情報セキュリティが存在しない  だから監査もクソもないということだと思っています。
お気づきの点がありましたらご指摘の程よろしくお願いします。
2022.11.16 13:19
さん 
(No.2)
本問は「システム監査」ではなく、
「情報セキュリティ監査」について聞いています。

従って監査対象は「情報資産」です。
「情報資産」は、電子データだけでなく紙媒体の記録や人の記憶なども含まれます
従って、コンピュータの無い部署、紙の書類だけを扱っている部署も監査対象になります。

「システム監査」だとエが正解ですね。
2022.11.16 14:01
ハニーポットは蜜の味さん 
(No.3)
情報セキュリティ監査は、情報システムのセキュリティだけではなく、情報資産全体の
セキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な
対策がなされているかの視点で監査がなされます。

コンピュータを導入していない部署でも、情報資産に対してリスクアセスメントが行なわ
れているか、その結果に基づいて適切な対策(コントロール)がなされているかどうかを
監査します。

情報セキュリティを脅かす脅威は、会社内部の社員が顧客名簿をコピーして名簿業者に
販売したり、退職する社員が技術情報文書をコピーして転職先に漏洩するなど考えられ
ますので、コンピュータがない=情報セキュリティが存在しないとはなりません。
2022.11.16 15:18
匿名さん  
(No.4)
cさん、ハニーポットは蜜の味さんありがとうございます!
2022.11.17 12:49
Tsudo7090さん 
(No.5)
この投稿は投稿者により削除されました。(2022.11.17 18:22)
2022.11.17 18:22

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop