calendar

S M T W T F S
1234567
891011121314
15161718192021
22232425262728
2930     
<< September 2019 >>

categories

archives

東京の天気

ただいまの訪問者数

ブログパーツUL5

スポンサーサイト

0

    一定期間更新がないため広告を表示しています

    • 2019.04.27 Saturday
    • -
    • -
    • -
    • -
    • -
    • by スポンサードリンク

    問1 システム監査 ★★☆

    0

       問1 “システム管理基準”でいう,システムテストの総合テストで使用するテストデータの作成に対する監査項目はどれか。

      ア テストチームが,業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか。
      イ 品質保証部門が,要求仕様を満たしているシステムであることをテストするテストデータを作成しているか。
      ウ プログラマが,自分で作成したプログラムのすべての経路をテストするテストデータを作成しているか。
      エ プログラミングチームが,プログラム間のインタフェースをテストするテストデータを作成しているか。

      答え ア
      ア システムテストの監査項目に関する適切な記述です。
      イ プログラムの品質管理の監査項目でしょうか?
      ウ プログラミングに関する監査項目の記述です。 
      エ ウと同じです。

      解説
      システム管理基準のシステムテストに関する問題です。システム管理基準を、全部覚える必要はないと(というか出来ない)思いますが、一通りは目を通して、どんなことが記述してあるか程度は押さえておきましょう。
      システムテストの項目を見ると、「開発当事者以外のものが参加すること」「本番運用を想定したテストケースを設定して実施すること」とあります。

      システム管理基準
      http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf


      問2 システム監査 ★☆☆

      0

         問2 “システム監査基準”における監査業務のうち,適切なものはどれか。

        ア 監査計画は,予備調査で変更はできるが,本調査の途中では変更しない。
        イ 監査報告書を外部に開示する範囲及び方法を決定する。
        ウ 監査目的に応じた監査報告書を作成し,遅滞なく監査依頼者に提出する。
        エ 予備調査及び本調査は自ら行い,ほかの専門家の支援を受けてはならない。

        答え ウ
        ア 実際に監査手続きを実施してみたが予定通りに情報が収集できないことがある場合は、必要な情報が取れるように監査手続きを見直してもかまいません。
        イ 外部に開示する範囲および方法は、監査業務でなく監査を依頼した経営の業務です。
        ウ システム監査基準に関する適切な記述です。
        エ システム監査を実施するためには、対象業務に関する専門的な知識を必要とする場合も多く、そのような場合にはほかの専門家の支援を考慮すべきとあります。

        解説
        システム監査基準を参照しますと、”.報告基準の1.監査報告書の提出と開示”に、”システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅延なく監査の依頼者に提出しなければならない”とあります。


        問3 システム監査 ★★☆

        0

           問3 “JIS Q 27001 : 2006” の管理策を参考にして設定した,ノート型PCに対する物理的セキュリティ対策の妥当性を確かめるための監査手続はどれか。

          ア オフィス内を視察し,不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する。
          イ 管理ルールを調べ,ノート型PCを社外に持ち出す場合には,セキュリティ管理者の許可を得るルールになっていることを確認する。
          ウ 教育計画及び教育記録を閲覧し,ノート型PCの安全管理についての社員教育が適切に行われていることを確認する。
          工 実際にノート型PCを操作して,パスワードを入力しないと利用可能にならない仕組みになっていることを確認する。
           

          答え ア


          問4 法務 ★★☆

          0

            問4 外部委託管理の監査に開する記述のうち,適切なものはどれか。

            ア 請負契約においては,委託側の事務所で作業を行っている受託側要員のアクセス管理が妥当かどうかを,委託側が監査できるように定める。
            イ 請負契約の場合は,受託側要員に対する委託側責任者の指揮命令が適切に行われているかどうかを,委託側で監査する。
            ウ 外部委託で開発した業務システムの品質管理状況は,委託側で監査する必要はなく,受託側で監査すべきである。
            工 機密度の高い業務システムの開発を外部に委託している場合は,自社開発に切り替えるよう改善勧告する。

            答え ア
            請負契約においては、指揮命令系統は受託側にあります。受託側要員のアクセス管理が妥当かどうかは、委託側でも管理する必要があります。

            ア 外部委託管理に関する正しい記述です。
            イ 請負契約の場合は、委託側で受託側の指揮命令を行うことはできません。
            ウ 請負契約であっても、成果物に対する品質管理は、委託側でも実施すべきです。
            エ 自社開発に切り替える以外に、機密保持契約の締結など、外部に流出しない手段を実施する等の方法があります。


            問5 システム監査 ★★★

            0
               問5 表はコンピュータを利用して行うシステム監査技法についてまとめたものである。  (1)〜(4)の組合せとして適切なものはどれか。

              答え イ
              コンピュータを利用した監査技法の問題です。午後2でも、平成19年度問2でITの利用に関する問題が出題されています。コンピュータによる監査技法にはさらっと、以下のようなものがあります。
              1、テストデータ法
              テストデータを監査対象プログラムに入力。
              2、監査プログラム法
              システム監査上使用頻度の高い機能に特化した監査プログラムを利用する。
              3、監査モジュール法
              監査用モジュールを本番プログラムに組み込んで、データを抽出する。
              4、ITF法
              監査対象ファイルの中に監査人用の口座を作成し、その口座に対して各種操作をする。
              5、並行シミュレーション法
              システム監査人が準備したプログラムと監査対象プログラムに同じデータを入れてみて結果を見る。
              6、スナップショット法
              あらかじめ設定したデータや条件によりメモリをダンプし、必要な情報を得る。
              7、トレーシング法
              特定のトランザクション処理を追及するる。
              8、コード比較法
              システム監査人によって検証されているプログラムと監査対象のソースコード、オブジェクトコードを比較する。
              まず、監査経験のない私がこれを読むと、本当にこんなことができるの?と疑ってしまいます。







              問6 システム監査 ★☆☆

              0

                問6 システム監査における監査証跡はどれか。

                ア 監査業務の全過程において,監査人が収集及び作成した資料である。
                イ 監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録である。
                ウ 監査人が監査証拠を入手するために実施する監査技術の組合せである。
                エ 監査人が監査手続を実施して収集した資料,及び監査人の判断に基づいて評価された資料である。

                答え イ

                解説
                ア 監査報告書のことです。
                イ 監査証跡のことです。
                ウ 監査手続きのことです。
                エ 監査調書のことです。


                問7 システム監査 ★★☆

                0

                   問7 “システム管理基準”で定めている,運用業務におけるソフトウェア管理に該当するものはどれか。

                    ア プログラムからの出力情報の利用状況を記録し,定期的に分析する。
                    イ プログラムで用いるデータファイルヘのアクセスをコントロールする。
                    ウ プログラムの違法コピーが発生しないよう教育する。
                    エ プログラムのテスト結果を記録し保管する。

                  答え ウ
                  ”システム管理基準”の”運用業務”に関する問題です。”6.ソフトウェア管理”を参照すると、”ソフトウェアの保管・複写及び廃棄は、不正防止及び機密保護の対策を講じること”とあります。

                  ア 出力管理の記述です。
                  イ データ管理の記述です。
                  ウ ソフトウェア管理の記述です。
                  エ 開発業務の記述です。

                  システム管理基準は頻出問題ですが、全部暗記するのは難しいと思います。過去問を中心に覚えておきましょう。



                  問8 システム監査 ★★☆

                  0

                    問8 システム監査の実施手順のうち,適切なものはどれか。

                    ア 監査対象業務の把握→監査手続書の作成→監査目的の設定→証拠の収集→コントロールの評価・結論

                    イ 監査対象業務の把握→証拠の収集→監査目的の設定→監査手続きの作成→コントロールの評価・結論
                    ウ 監査手続書の作成→監査目的の設定→監査対象業務の把握→証拠の収集→コントロールの評価・結論
                    工 監査目的の設定→監査対象業務の把握→監査手続書の作成→証拠の収集→コントロールの評価・結論

                    答え エ
                    システム監査の実施手順に関する問題です。システム監査を実施するには、まずは何のために監査を実施するのか?その目的を明確しておくことが必要です。この時点で、答えはエと判断できます。知識がなくても推測で正解を導くことができます。

                    監査目的を設定した後は、本調査を効率的・効果的に行うため必要な情報を収集するための予備調査を実施します。予備調査では、コントロールの妥当性をチェックするために、どのような監査手続きが必要になるかを検討し、監査手続書を作します。

                    次に、監査手続書に即して本調査を実施し、監査証拠を収集します。監査証拠から監査部門内で総合検討した後、監査報告書をまとめます。監査報告書は、監査内容に誤りがないか?フォロー項目は実現できるか?など被監査部門の意見交換を行うこともある。


                    問9 システム監査 ★☆☆

                    0

                      問9 情報システムの可監査性を説明したものはどれか。

                      ア コントロールの有効性を監査できるように,情報システムが設計・運用されていること
                      イ システム監査人が,監査の目的に合致した有効な手続を行える能力をもっていること
                      ウ 情報システムから入手した監査証拠の十分性と監査報告書の完成度が保たれていること
                      エ 情報システム部門の積極的な協力が得られること

                      答え ウ
                      情報システムの可監査性(Auditability)の問題です。当然ですが、可監査性の意味を知らないと解けません。可監査性とは、「監査の実施が可能であること」すなわち監査証拠とコントロールが存在することを表します。と言っても難しいですね。下記のページには詳しい説明が掲載されています。

                      http://masmas.jp/ssse/au/Chapter3.html

                      ア 情報システムが設計・運用されていることは、可監査性に関係はありません。
                      イ システム監査人の能力は、可監査性に関係ありません。
                      ウ 監査証拠と監査報告書は、可監査性に関する適切な記述です。
                      エ 情報システム部門の協力は、監査を円滑に行うためには必要ですが、可監査性と関係ありません。


                      問10 システム監査 ★☆☆

                      0

                        問10 “情報セキュリティ監査基準”の位置付けはどれか。

                        ア 監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり,監査人の規範である。
                        イ 情報資産を保護するためのベストプラクティスをまとめたものであり,監査マニュアル作成の手引書である。
                        ウ 情報セキュリティ監査業務の品質を確保し,有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
                        工 組織体が効果的な情報セキュリティマネジメント体制を構築し,適切なコントロールを整備,運用するための実践規範である。

                        答え ウ
                        解説
                        本問を解くには、システム監査基準、システム管理基準、情報セキュリティ監査基準、情報セキュリティ管理基準の違いを明確に知っておく必要があります。システム監査を受験する人であれば、当然の知識であると思いますので、簡単に解けたのではないでしょうか?

                        アは、システム監査基準のことです。
                        イは、システム管理基準のこと?
                        エは、ISMS(Infomation Security Management System)のことです。


                        | 1/3PAGES | >>