メインコンテンツへ
システム監査監査・ガバナンス

情報セキュリティポリシ監査の主な目的として、最も適切なものはどれか。

ア.セキュリティ製品の最新バージョンへの一括更新を強制することである。
イ.組織が定めた情報セキュリティポリシ(基本方針・対策基準・実施手順)が適切に整備され、実際の業務において遵守・運用されているかを独立的に評価し、改善提言を行うことである。正解
ウ.従業員のパスワード強度を一律で大文字小文字数字記号20文字以上に強制することである。
エ.監査結果に基づき、規定違反者に対し懲戒処分を直接執行することである。

解説

セキュリティポリシ監査は「会社の交通ルールが守られてるか調べる白バイ」。立派なルール(ポリシ)を作っても、現場で「いやー忙しくて」と無視されてたら意味ない。整備されてるか・運用されてるかを独立した目で見るんです。

なぜ イ が正解か

情報セキュリティポリシ監査は、(1)基本方針(理念・目的)、(2)対策基準(分野別の遵守事項)、(3)実施手順(具体的手続き)、の3階層ポリシ体系が組織として整備されているか、(4)実際の業務で遵守されているか、(5)有効に機能しているか、を独立の立場から評価し、改善提言を行います。監査人は執行権限を持たず、判断・是正は経営層の責任です。ISMS(JIS Q 27001)等の規格適合性評価とも関連します。

なぜ ア は間違いか

製品更新の強制は監査ではなく運用業務(構成管理・パッチ管理)の領域です。監査人は強制権限を持ちません。

なぜ ウ は間違いか

パスワード強度はポリシで定める対象ですが、それを「強制」するのは運用部門の責務です。監査は遵守状況の評価であって執行ではありません。

なぜ エ は間違いか

懲戒処分は人事部門・経営層の権限です。監査人の役割は事実の評価と報告であり、処分執行は独立性違反になります。

出典: AI生成問題(学習用)