JIS Q 27002:2014 (情報セキュリティ管理策の実践のための規範) では、運用システムに対する監査活動の影響を最小限にするための管理策及び実施の手引を定めている。その中で守ることが最も望ましいとされている事項はどれか。
- 運用システムに影響を与えないよう、監査におけるテストについては、アクセス監視やログ取得の対象外とする。
- 運用システムや当該システム上のデータへのアクセスに関する監査要求事項については、当該システムの運用担当者に限定して同意を得る。
- 監査におけるテストがシステムの可用性に影響する可能性がある場合は、当該テストを営業時間内に実施する。
- 監査におけるテストでソフトウェア及びデータにアクセスする場合は、読出し専用のアクセスに限定する。
出典:令和4年度 システム監査技術者試験 午前2 問7
正解:エ
「JIS Q 27002:2014 (情報セキュリティ管理策の実践のための規範) 」に関する問題です。
「監査におけるテスト中の情報システムの保護」として、運用中システムに影響を与えないよう監査する際の手段を問われています。
回答ア:
誤りです。追跡可能性の観点からログ関連の確認は重要なテストとなるため、監査対象とするのが適切です。
回答イ:
誤りです。運用担当者だけでなく、管理者等の同意も必要に応じて得るのが適切です。 ※担当者だけに限って同意を得るものではありません
回答ウ:
誤りです。システムの可用性に影響が出る場合は、通常運用に影響が出にくい営業時間外を検討すべきです。
回答エ:
正しい記述です。不意の影響が出てしまうことを考慮し、読み出し専用のアクセス権を用いたテストが望ましいです。
出典:https://www.jisc.go.jp/