問題
問48
システム監査で用いる判断尺度の選定方法に関する記述として、最も適切なものはどれか。
- システム監査ではシステム管理基準の全項目をそのまま使用しなければならない。
- システム監査のテーマに応じて、システム管理基準以外の基準を使用してもよい。
- システム監査のテーマによらず、システム管理基準以外の基準は使用すべきでない。
- アジャイル開発では、システム管理基準は使用すべきでない。
[出典:ITパスポート試験 令和6年度 問48]
スポンサーリンク
正解
正解は「イ」です。
解説
システム監査では、その目的やテーマに応じて最適な基準を選択することが求められます。システム管理基準は、一般的なシステム管理の指針として利用されますが、場合によってはその他の基準(例えばISOや業界標準)を選択することもあります。これにより、監査の目的に沿った効果的な監査が実現します。この柔軟性が、選択肢「イ」を正解とする理由です。
ア(システム監査ではシステム管理基準の全項目をそのまま使用しなければならない):
システム管理基準の全項目を使用する必要はありません。監査のテーマに応じて必要な部分を使用する柔軟性が求められます。
ウ(システム監査のテーマによらず、システム管理基準以外の基準は使用すべきでない):
テーマに応じてシステム管理基準以外の基準を活用することは、より適切な監査を実現するために推奨されます。システム管理基準に限定することは不適切です。
エ(アジャイル開発では、システム管理基準は使用すべきでない):
アジャイル開発であっても、適切な監査基準としてシステム管理基準を使用することは可能です。この選択肢は誤りです。
難易度
普通
システム監査の基準に関する理解が求められる問題で、システム管理基準に加え、その他の基準を柔軟に活用する考え方を知っていれば解答可能です。初学者には少し難しいかもしれませんが、試験対策として押さえておくべき重要な内容です。
スポンサーリンク
用語補足
システム監査:
企業や組織の情報システムやその運用状況について、第三者が客観的に評価を行う活動です。リスク管理、効率性、信頼性などの観点で監査が実施されます。
システム管理基準:
経済産業省が定めた指針で、情報システムの管理や運用の最適化を目的とした基準です。システムのライフサイクルを通じて、セキュリティやリスク管理などの観点から適用されます。
対策
- システム管理基準の内容と、システム監査における基準の柔軟な選定方法について学習してください。
- 過去問題を通じて、基準の使用場面をイメージしながら理解を深めましょう。
- 情報システムのリスク管理や監査に関連する基準(ISO 27001やCOBITなど)を一緒に学習するとより効果的です。
