【解説】セキュリティ監査( セキュアド 平成17年 午後T問2)
→問題を見る
この設問では、セキュリティ監査を行う目的や、監査に際して満たすべき条件、監査を円滑に実施するための準備対応などセキュリティ監査の一連の流れを理解しているかが問われています。
設問1
答え:[a-保証型、b-助言型、c-エ、d-イ、e-コ、f-ス]
【空欄a,b】
情報セキュリティ制度では、目的によって助言型監査と保証型監査を定めています。助言型監査は、情報セキュリティ上の問題点を検出し、改善提案を行う監査形態です。保証型監査は、情報セキュリティにたいするマネジメントが適切に行われているかを保障する監査です。
【空欄c,d,e】
情報セキュリティの国際基準としてISO/IEC17799として規格化されています。これをもとに日本では、JIS X 5080が作成されました。情報セキュリティ監査基準は、JIS
X 5080から960項目を導出した、情報セキュリティ管理基準があります。
【空欄f】
情報セキュリティ監査の目的は、情報セキュリティに関するリスク管理が適切に行われるように、監査人が独立かつ専門的な立場から検証・評価して保証を与えるか、もしくは助言を行うことにあります。よってM社が監査を行うことは独立性の観点から不適切と考えられます。
設問2
(1)答え:[監査に必要な資料の準備、監査担当者のIDCへの入室許可]
ここでは、「監査を効率よく実施するため」に依頼する事項について考えます。効率よく監査を行うには、IDC側で監査資料の準備、スケジュール調整、入室許可などを実施してもらっておく必要があります。
設問3
(1)答え:[DSに対するFTPアクセスログ]
「大量の個人情報流出事故に備えて取得すべきログ」について考えると、個人情報はDS上に保存されているのでDSへのアクセスログの取得が必要となります。問題文に「システム部担当者はFTPを使用してDSにアクセスし一括更新・取得」を行うことが読み取れるのでFTPのアクセスログが回答として導くことができます。
設問4
答え:[各部門:人事異動の際のSIDの追加・削除申請について確認する手順を追加する、 システム部:SID情報を定期的に人事部門と照合する]
異動情報は人事部が情報を管理しているのでシステム部と人事部が情報を共有するひつようがあります。またユーザ部門では、人事異動の際のSIDの追加・削除する仕組みとそれを遺漏なく通知する仕組みが必要になります。
→問題を見る
|
|
スポンサードリンク
|