ITパスポート 過去問
令和7年度
問38 (マネジメント系 問3)
問題文
情報セキュリティ監査の説明として、最も適切なものはどれか。
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
ITパスポート試験 令和7年度 問38(マネジメント系 問3) (訂正依頼・報告はこちら)
情報セキュリティ監査の説明として、最も適切なものはどれか。
- 一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、ガバナンスの適切性などに対する保証や改善のための助言を行うもの
- コンピュータの盗難や不正な持出しを物理的に防止し、情報セキュリティを確保するためのツール
- 組織体の価値及び組織体への信頼を向上させるために、組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動
- 組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価
正解!素晴らしいです
残念...
この過去問の解説 (3件)
01
情報セキュリティ監査とは、ルール通りに運用されているか、リスク対策が有効かを独立した立場から検証、評価する活動です。
各選択肢をそれぞれみていきます。
ITシステムの利活用を対象としているので、システム監査に該当すると考えられます。
そのため本選択肢は不正解です。
物理的な対策についての説明であるため、そもそも監査ではありません。
そのため本選択肢は不正解です。
IT戦略を立案する活動であるため、監査ではありません。
そのため本選択肢は不正解です。
情報資産を保護するための取り組みについての検証、評価であるため、情報セキュリティ監査に該当します。
そのため本選択肢が正解です。
情報セキュリティ監査と混同しがちなのは、システム監査です。
情報セキュリティ監査は情報漏えいや改ざんが起きないかを検証し、システム監査はそのITシステムは本当に会社の役に立っているかを検証するものです。
最後にそれぞれの違いを表にまとめてみます。
参考になった数20
この解説の修正を提案する
02
まず、監査についてしっかりと理解していなければ、正解にたどりつくことができません。
監査とは、対象のものが適切な状態にあるかを検証し、評価します。
監査の結果は、監査された側が反映させるしかありません。
セキュリティは情報資産にかかわるリスクの管理のことをさします。
以上の点を踏まえて、選択肢を見ていきましょう。
システム監査に関する仕組みです。
確かに、監査に当てはまりますが、対象はシステムです。
この選択肢は不適切です。
物理的なセキュリティ対策に関する仕組みです。
セキュリティワイヤーなどが該当します。
この選択肢は不適切です。
ITガバナンスの説明です。
そもそも、選択肢の説明は監査とは無関係です。
この選択肢は不適切です。
この選択肢が正解です。
参考になった数8
この解説の修正を提案する
03
企業は、新商品の企画や顧客の個人情報といった、機密に守られるべき情報を膨大に取り扱います。
故に、それらの情報が安全に保護されているかを専門家の目から厳しくチェックを受ける必要があります。
そのチェックとして定期的に実施されるのが「情報セキュリティ監査」であり、基準なども日本産業規格である「JIS Q 27002」で厳密に定義されています。
よって、正解は「組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価」です。
これも企業が定期的に受けるべき監査のひとつですが、システム監査といい
・コストやリスクなどについて、適切に把握して経営をしているか
・サーバーやワークステーションなどのITシステムを有効活用できているか
といった、経営面での健全性を対象とした監査ですので、情報セキュリティ監査で対象とする「安全性」とは、また別の観点での監査となります。
また、文中にあるガバナンスとは、企業が健全な経営活動を行うために必要となる「内部統治」のことです。
チェーンロックなど、ノートPCを物理的に固定して盗難防止をするためのものです。
こうした物理的措置に加え、ウイルス対策ソフトやIDS等の導入といったソフト面での措置、また情報セキュリティルールの策定など、セキュリティ対策について総合的にチェックするのが、情報セキュリティ監査です。
ITガバナンス実現のための取り組み内容です。
デジタル技術利活用による企業文化の変革(DX:デジタルトランスフォーメーション)の
健全な推進のためにも、ITガバナンスは重要視されています。
参考になった数0
この解説の修正を提案する
前の問題(問37)へ
令和7年度 問題一覧
次の問題(問39)へ