“政府情報システムのためのセキュリティ評価制度(ISMAP)標準監査手続”における“監査の対象となる期間”の記述のうち、適切なものはどれか。
監査の対象となる期間が1年を超える場合に限り、ISMAPクラウドサービスリストにおいて監査対象期間を公開しなければならない。
監査の対象となる期間は最大1年である。
監査の対象となる期間を1年とする場合、ISMAP クラウドサービスリストにおいて監査対象期間は公開されない。
監査の対象となる期間を1年より短くする場合には、1か月の最低運用期間を経る必要がある。
出典:令和5年度 システム監査技術者試験 午前2 問2
正解:イ
ISMAP(Information system Security Management and Assessment Program)とは、政府機関等がクラウドサービスを円滑に導入することを目的とした制度です。
政府が求めるセキュリティ要件を満たしているクラウドサービスをあらかじめ評価・登録し、調達時のセキュリティ水準の確保を図ります。
本問は監査対象期間についての規定と、ISMAPクラウドサービス(https://www.ismap.go.jp/csm?id=cloud_service_list)の掲載事項について問われています。
回答ア:
誤りです。「ISMAPクラウドサービス登録規則 第7章 7.5」にて、ISMAPクラウドサービスリストの掲載項目として明記されています。
監査対象期間の公開を免除されるような記載はありません。
回答イ:
正しい記述です。「ISMAP標準監査手続 第3章 3.1」にて、監査の原則は1年とされており、短くなることはあっても延びることはありません。
回答ウ:
誤りです。「回答ア」と同様です。
回答エ:
誤りです。監査対象期間を1年未満にするための条件が存在しますが最低運用期間を条件としたものはありません。
出典:https://www.ismap.go.jp/