情報セキュリティ監査の説明として、最も適切なものはどれか。
- ア. 一定の基準に基づいて IT システムの利活用に係る検証・評価を行い、ガバナンスの適切性などに対する保証や改善のための助言を行うもの
- イ. コンピュータの盗難や不正な持出しを物理的に防止し、情報セキュリティを確保するためのツール
- ウ. 組織体の価値及び組織体への信頼を向上させるために、組織体における IT システムの利活用のあるべき姿を示す IT 戦略と方針の策定及びその実現のための活動
- エ. 組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価
【答え】エ
【解説】
情報セキュリティ監査とは
情報セキュリティ監査とは、組織の情報セキュリティ対策が適切に実施されているかを第三者的な立場で評価・確認する活動です。目的は、情報の機密性、完全性、可用性が確保されているかどうかを客観的にチェックし、リスクマネジメントの状況を把握して改善点を明らかにすることです。
情報セキュリティ監査の主な目的としては次のようなものがあります。
- セキュリティ対策がルール通りに実施されているかを確認する
- システムや業務に脆弱性や不備がないかを評価する
- 法令やガイドライン(例:個人情報保護法、ISMS)への適合を確認する
- 将来のセキュリティ事故を予防するための改善点を洗い出す
各選択肢の解説
ア. 一定の基準に基づいて IT システムの利活用に係る検証・評価を行い、ガバナンスの適切性などに対する保証や改善のための助言を行うもの
→これはシステム監査の説明であり、情報セキュリティに限定した説明ではない。
イ. コンピュータの盗難や不正な持出しを物理的に防止し、情報セキュリティを確保するためのツール
→これは物理セキュリティ対策(例:施錠、監視カメラ、盗難防止装置など)の説明。「監査」ではなく「対策手段」なので不適切。
ウ. 組織体の価値及び組織体への信頼を向上させるために、組織体における IT システムの利活用のあるべき姿を示す IT 戦略と方針の策定及びその実現のための活動
→これは「ITガバナンス」や「IT戦略」の話で、監査とは無関係。
エ. 組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価
→ ⭕ 適切。情報セキュリティ監査の定義に最も合致しています
以上より、正解はエ.となります。
