平成31年度(2019) 春期 問40 | 情報処理技術者試験 情報セキュリティマネジメント試験
経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)"における、 情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とす る監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを 目的とする監査(助言型の監査)の実施に関する記述のうち、適切なものはどれか。
選択肢 ア
同じ監査対象に対して情報セキュリティ監査を実施する場合、保証型の監査から手がけ、保証が得られた後に助言型の監査に切り替えなければならない。
選択肢 イ
情報セキュリティ監査において、保証型の監査と助言型の監査は排他的であり、監査人はどちらで監査を実施するかを決定しなければならない。
選択肢 ウ
情報セキュリティ監査を保証型で実施するか助言型で実施するかは、監査要請者のニーズによって決定するのではなく、監査人の責任において決定する。
選択肢 エ
不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を開示することが有用である。
[出典:情報処理技術者試験 情報セキュリティマネジメント試験 平成31年度(2019) 春期 問40]