問38

ITパスポート過去問令和7年度（2025年）問38

情報セキュリティ監査の説明として，最も適切なものはどれか。

選択肢

正解：エ

あなたの回答：未回答

情報セキュリティ監査は、組織の情報資産に関わるリスクマネジメントが、効果的に実施されているかどうかを検証又は評価する活動です。情報セキュリティ対策を実施すること自体ではなく、方針や基準に沿って適切に運用されているかを確認し、改善に役立てる点が特徴です。

ア：不正解: 一定の基準に基づいてITシステムの利活用を検証・評価し、保証や改善の助言を行う内容なので、情報セキュリティに限定した監査ではなく、システム監査の説明です。

この問題は、情報セキュリティ監査の定義を確認することがねらいです。特に、「情報資産」「リスクマネジメント」「検証又は評価」という要素がそろっている記述を選べるかを確認します。

この問題を解くには、情報セキュリティ監査と、似た用語（システム監査、物理的セキュリティ対策、IT戦略・方針）を区別できる知識が必要です。

用語名	意味
情報セキュリティ監査	組織の情報資産に関わるリスクマネジメントが適切かつ有効に実施されているかを、検証又は評価する活動です。
情報資産	組織にとって価値があり、保護すべき情報および関連するもの（例：データ、文書、媒体など）です。
リスクマネジメント	リスクを特定し、評価し、対応（低減など）を行い、残るリスクを管理する一連の活動です。

用語名	意味
システム監査（情報システム監査）	一定の基準に基づき、ITシステムの利活用を検証・評価し、保証や助言を行う監査です。
ガバナンス	組織が目的を達成するために統制し、説明責任を果たすための仕組みです。
IT戦略	組織の目標に沿って、ITの活用方針や計画を定めることです。
物理的セキュリティ	盗難、持出し、侵入などを防ぐための対策（例：施錠、入退室管理、監視など）です。

選択肢	何の説明か	判断理由
ア	システム監査（情報システム監査）	ITシステムの利活用を対象に、保証や助言まで含めて述べており、情報セキュリティに限定していません。
イ	物理的セキュリティ対策	盗難防止などの対策手段の説明であり、監査（検証・評価する活動）の説明ではありません。
ウ	IT戦略・方針の策定と実現活動	戦略や方針を作り実現する活動の説明であり、監査（検証・評価）ではありません。
エ	情報セキュリティ監査	情報資産に関わるリスクマネジメントが効果的かを検証又は評価すると述べており、定義に合致します。

ア：不正解: 一定の基準に基づいてITシステムの利活用を検証・評価し、保証や改善の助言を行う内容なので、情報セキュリティに限定した監査ではなく、システム監査の説明です。

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

マネジメント系 > サービスマネジメント > システム監査