システム管理基準 (平成30年)では、前文において同基準の活用における留意点について記述している。記述内容として、適切なものはどれか。
- システム管理及びシステム監査の主旨を実現するためには、同基準にのっとって網羅的に管理項目を適用しなければならない。
- 情報セキュリティの監査・管理を実施する場合には同基準ではなく、情報セキュリティ管理基準に基づいて監査・管理を実施しなければならない。
- 大企業だけでなく、中小企業向けの情報システム化戦略、 情報システム化実践に関わる適切な自己診断及び監査にも使用できる。
- 同基準を基に企業などが独自の管理基準を策定する場合には、同基準に規定された管理項目を、可能な限りそのまま採用することによって、管理の有効性を高める。
出典:令和4年度 システム監査技術者試験 午前2 問3
正解:ウ
経済産業省のシステム管理基準にて記載されている「前文」についての問題です。
「前文」には、
1.システム管理基準がどのような資料であるか
2.どのような構成で記載されているか
3.最近行われた改定の意図は何か、
などが記載されており、同じく経済産業省から策定されている「システム監査基準」との立ち位置の違いも含まれます。
今回はその前文に記載されている内容について正しい回答を選ぶ問題となります。
回答ア:
誤りです。同資料では「達成目標」、「ガバナンス活動の例」、「管理活動の例」などが記載されており、基準の提示に留められています。
順守することを強いるものではありません。
回答イ:
誤りです。「回答ア」と同様、基準とされるものはその記載内容を強いるものではありません。
回答ウ:
正しい記述です。改定の第一目的として挙げられています。
ちなみに第二目的は「情報システムにまつわるリスクを適切にコントロールしつつ、ITガバナンスの実現に貢献する」とあります。
回答エ:
誤りです。「回答ア」と同様、守るべき基準ではなく、基準を参考にして自社におけるシステム管理基準を設けることが重要です。