応用情報技術者試験 令和4年秋期 問58
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア:USBメモリの使用を,定められた手順に従って許可していた。
イ:個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
ウ:マルウェアスキャンでスパイウェアが検知され,駆除されていた。
エ:リスクアセスメントを実施した後に,リスク受容基準を決めた。
出典 IPA公開[過去問題]:https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000008smf-att/2022r04a_ap_am_qs.pdf
企業などの組織では度々「監査」と呼ばれるチェックが入ることがあります。「監査人」と呼ばれる人達によって行われますが、監査の対象はシステムや財務など様々です。
監査人が監査を行った後で監査を受けた側に対して「監査報告書」というのを提出します。この報告書には監査人からの「指摘事項」などが記載されています。
「指摘事項」とは言わば「現状では法律違反もしくは将来的にトラブルを生む可能性あるため、早急に対処する必要のある事項」です。
例えば、会社の機密事項が入っているシステムに対してID・パスワードなどによるアクセス制御をしていない場合は機密性が確保されていないため、監査報告書に指摘事項として記載されます。他にも経理担当者が自分で起案し、自分で承認しているような場合も指摘事項として記載されるケースがあります。
本問ではア・イ・ウは問題のない行動です。 リスクアセスメントについては後半に書いていますが、企業や組織として基準ラインを設定してからでないとリスクの対応レベルを決められないはずです。
正解は、「エ:リスクアセスメントを実施した後に,リスク受容基準を決めた。」です。
ただ、基本情報技術者試験・応用情報技術者試験では「リスクアセスメント」に関する問題は度々出題されています。
リスクアセスメントとは
リスクアセスメントは企業やシステムなどが抱えるリスクを「特定・分析・評価」する一連の手順のことです。
①リスク特定:
自社内や組織が保持している情報資産どんなリスクを抱えているかを洗い出すプロセス。
②リスク分析:
特定されたリスクの影響度合い、影響範囲を分析するプロセス。
③リスク評価:
分析されたリスクの重篤度や発生確率、危険性などからリスクポイントを計算し、優先度を設定するプロセス。
※リスクアセスメントを行ったあとで個々のリスクに対して対応策を考えていきます。