問58
事業継続計画 (BCP) について監査を実施した結果、適切な状況と判断されるものはどれか。
ア 従業員の緊急連絡先リストを作成し、最新版に更新している。
イ 重要書類は複製せずに、1か所で集中保管している。
ウ 全ての業務について、優先順位なしに同一水準のBCPを策定している。
エ 平時にはBCPを従業員に非公開としている。
今日気づいたことを、軽いタッチで、コミカルに表現してみました。 パソコンやITに関することも時々書いています。
事業継続計画 (BCP) について監査を実施した結果、適切な状況と判断されるものはどれか。
ア 従業員の緊急連絡先リストを作成し、最新版に更新している。
イ 重要書類は複製せずに、1か所で集中保管している。
ウ 全ての業務について、優先順位なしに同一水準のBCPを策定している。
エ 平時にはBCPを従業員に非公開としている。
システム監査基準 (平成30年) に基づいて、監査報告書に記載された指摘事項に対応する際に、不適切なものはどれか。
ア 監査対象部門が、経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。
イ 監査対象部門が、自発的な取組によって指摘事項に対する改善に着手する。
ウ システム監査人が、監査対象部門の改善計画を作成する。
エ システム監査人が、監査対象部門の改善実施状況を確認する。
マスタファイル管理に関するシステム監査項目のうち、可用性に該当するものはどれか。
ア マスタファイルが置かれているサーバを二重化し、耐障害性の向上を図っていること
イ マスタファイルのデータを複数件まとめて検索・加工するための機能が、システムに盛り込まれていること
ウ マスタファイルのメンテナンスは、特権アカウントを付与された者だけに許されていること
エ マスタファイルへのデータ入力チェック機能が、システムに盛り込まれていること
情報セキュリティ管理基準 (平成28年) を基に、情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
ア Webページに対して、マルウェア検出のためのスキャンを行っている。
イ マルウェア感染によって被害を受けた事態を想定して、事業継続計画を策定している。
ウ マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用している。
エ マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い、必要に応じて修正コードを適用し、脆弱性の低減を図っている。
システムに関わるドキュメントが漏えい、改ざん、不正使用されるリスクに対するコントロールを監査する際のチェックポイントはどれか。
ア システム変更に伴い、ドキュメントを遅滞なく更新していること
イ ドキュメントの機密性を確保するための対策を講じていること
ウ ドキュメントの標準化を行っていること
エ プロトタイプ型開発において、必要なドキュメントを作成していること
システム運用業務のオペレーション管理に関する監査で判明した状況のうち、指摘事項として監査報告書に記載すべきものはどれか。
ア 運用責任者が、オペレータの作成したオペレーション記録を確認している。
イ 運用責任者が、期間を定めてオペレーション記録を保管している。
ウ オペレータが、オペレーション中に起きた例外処理を記録している。
エ オペレータが、日次の運用計画を決定し、自ら承認している。
販売管理システムにおいて、起票された受注伝票の入力が漏れなく、かつ、重複することなく実施されていることを確かめる監査手続のうち、適切なものはどれか。
ア 受注データから値引取引データなどの例外取引データを抽出し、承認の記録を確かめる。
イ 受注伝票の入力時に論理チェック及びフォーマットチェックが行われているか、テストデータ法で確かめる。
ウ 販売管理システムから出力したプルーフリストと受注伝票との照合が行われているか、プルーフリストと受注伝票上の照合印を確かめる。
エ 並行シミュレーション法を用いて、受注伝票を処理するプログラムの論理の正当性を確かめる。
情報システム部が開発して経理部が運用している会計システムの運用状況を、経営者からの指示で監査することになった。この場合におけるシステム監査人についての記述のうち、最も適切なものはどれか。
ア 会計システムは企業会計に関する各種基準に準拠すべきなので、システム監査人を公認会計士とする。
イ 会計システムは機密性の高い情報を扱うので、システム監査人は経理部長直属とする。
ウ システム監査を効率的に行うために、システム監査人は情報システム部長直属とする。
エ 独立性を担保するために、システム監査人は情報システム部にも経理部にも所属しない者とする。
システムテストの監査におけるチェックポイントのうち、最も適切なものはどれか。
ア テストケースが網羅的に想定されていること
イ テスト計画は利用者側の責任者だけで承認されていること
ウ テストは実際に業務が行われている環境で実施されていること
エ テストは利用者側の担当者だけで行われていること
A社では、自然災害などの際の事業継続を目的として、業務システムのデータベースのバックアップを取得している。その状況について、“情報セキュリティ管理基準 (平成28年)”に従って実施した監査結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア バックアップ取得手順書を作成し、取得担当者を定めていた。
イ バックアップを取得した電子記録媒体からデータベースを復旧する試験を、事前に定めたスケジュールに従って実施していた。
ウ バックアップを取得した電子記録媒体を、機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。
エ バックアップを取得した電子記録媒体を、業務システムが稼働しているサーバの近くで保管していた。