ITパスポート過去問 平成31年度(2019年)問50
ある事業者において,情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として,最も適切なものはどれか。
選択肢
- ア:情報資産を管理している情報システム
- イ:情報システム以外で保有している情報資産
- ウ:情報システムが保有している情報資産
- エ:保有している全ての情報資産
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報資産のライフサイクルに従って実施する情報セキュリティ監査は、情報資産が電子データか紙か、情報システム内かシステム外かといった形態や保管場所で対象を限定しません。取得・作成から保管、利用、提供(移送)、廃棄までの各段階を確認するため、監査対象は保有している全ての情報資産です。
Point
情報セキュリティ監査の対象は、情報システムだけではなく情報資産全体であることを理解することが目的です。特に、ライフサイクルの観点では、情報資産を情報システム内のデータに限定せず、紙資料や媒体、委託先で保管しているものも含めて確認する点を押さえることが狙いです。
解くために必要な知識
この問題を解くには、情報セキュリティ監査が点検する範囲と、情報資産が含むものを理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| 情報資産 | 組織が保有する価値のある情報です。デジタルデータだけでなく、紙の書類、手順書、記録媒体なども含まれます。 |
| 情報セキュリティ監査 | 組織の情報セキュリティ対策が、規程どおりに運用されているか、適切かを独立した立場で点検・評価することです。 |
| ライフサイクル | 情報の作成・取得から利用・保存、移動・提供、消去・廃棄までの一連の流れです。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 情報システム | コンピュータやネットワークを利用して、情報の処理・蓄積・伝達を行う仕組みです。 |
監査対象の考え方
対象は情報システムに限定しません
情報資産は、作成・利用・保管・廃棄の各段階で、次のように姿や置き場所が変わることがあります。
-
情報システム内のデータとして保存される
-
印刷されて紙の書類になる
-
外部記憶媒体に保存される
-
外部提供される
このため、ライフサイクルに従う監査では、形式や保管場所で対象を絞らず、保有している全ての情報資産を対象にすることが原則です。
問題の解法手順
解き方
1. 設問の条件を確認する
「情報資産のライフサイクルに従って実施される情報セキュリティ監査」とあるため、情報資産の取得・作成から廃棄までの各段階で、管理が適切かを確認する監査だと整理します。
2. 対象を狭める条件があるかを確認する
設問には「情報システム内に限定する」「紙は除外する」などの限定条件がありません。したがって、情報システムの内外や媒体の違いで対象を分けないことが前提になります。
3. 選択肢を対象範囲の過不足で判断する
| 選択肢 | 内容の評価 |
|---|---|
| ア | 情報システムという仕組みに限定しており、情報資産そのもの(紙文書など)を網羅できないため不適切です。 |
| イ | 情報システム以外に限定しており、情報システムが保有する情報資産が対象外になるため不適切です。 |
| ウ | 情報システムが保有する情報資産に限定しており、紙文書などが対象外になるため不適切です。 |
| エ | 保有している全ての情報資産を対象にでき、ライフサイクル全体の監査として適切です。 |
選択肢ごとの解説
- ア:不正解
情報システムは情報を扱う仕組みであり、情報資産そのものに限定した表現ではありません。情報資産のライフサイクル全体を監査する場合、紙の書類などシステム外の情報資産も含める必要があるため不適切です。
- イ:不正解
情報システム以外に限定すると、情報システムが保有する電子データなどが対象から外れます。ライフサイクルに従う監査では、保有形態や保管場所で対象を分けずに確認するのが基本であるため不適切です。
- ウ:不正解
情報システムが保有する情報資産に限定すると、紙媒体、可搬媒体、委託先保管の資料など、情報システム外の情報資産が監査できません。ライフサイクル(取得から廃棄まで)を一貫して確認できないため不適切です。
- エ:正解
媒体や保管場所に関係なく、事業者が保有する全ての情報資産を対象にできるため、情報資産のライフサイクルに従って実施する監査対象として最も適切です。
まとめ
情報資産のライフサイクルに従って実施する情報セキュリティ監査は、情報資産が電子データか紙か、情報システム内かシステム外かといった形態や保管場所で対象を限定しません。取得・作成から保管、利用、提供(移送)、廃棄までの各段階を確認するため、監査対象は保有している全ての情報資産です。
マネジメント系 > サービスマネジメント > システム監査
情報システムは情報を扱う仕組みであり、情報資産そのものに限定した表現ではありません。情報資産のライフサイクル全体を監査する場合、紙の書類などシステム外の情報資産も含める必要があるため不適切です。
情報システム以外に限定すると、情報システムが保有する電子データなどが対象から外れます。ライフサイクルに従う監査では、保有形態や保管場所で対象を分けずに確認するのが基本であるため不適切です。
情報システムが保有する情報資産に限定すると、紙媒体、可搬媒体、委託先保管の資料など、情報システム外の情報資産が監査できません。ライフサイクル(取得から廃棄まで)を一貫して確認できないため不適切です。
媒体や保管場所に関係なく、事業者が保有する全ての情報資産を対象にできるため、情報資産のライフサイクルに従って実施する監査対象として最も適切です。