システム監査
情報セキュリティポリシ監査の主な目的として、最も適切なものはどれか。
ア.セキュリティ製品の最新バージョンへの一括更新を強制することである。
イ.組織が定めた情報セキュリティポリシ(基本方針・対策基準・実施手順)が適切に整備され、実際の業務において遵守・運用されているかを独立的に評価し、改善提言を行うことである。正解
ウ.従業員のパスワード強度を一律で大文字小文字数字記号20文字以上に強制することである。
エ.監査結果に基づき、規定違反者に対し懲戒処分を直接執行することである。
解説
セキュリティポリシ監査は「会社の交通ルールが守られてるか調べる白バイ」。立派なルール(ポリシ)を作っても、現場で「いやー忙しくて」と無視されてたら意味ない。整備されてるか・運用されてるかを独立した目で見るんです。
なぜ イ が正解か
情報セキュリティポリシ監査は、(1)基本方針(理念・目的)、(2)対策基準(分野別の遵守事項)、(3)実施手順(具体的手続き)、の3階層ポリシ体系が組織として整備されているか、(4)実際の業務で遵守されているか、(5)有効に機能しているか、を独立の立場から評価し、改善提言を行います。監査人は執行権限を持たず、判断・是正は経営層の責任です。ISMS(JIS Q 27001)等の規格適合性評価とも関連します。
出典: AI生成問題(学習用)