平成31年春期 セキュマネ 午前 問40
経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)"における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。 ア 同じ監査対象に対して情報セキュリティ監査を実施する場合,保証型の監査から手がけ,保証が得られた後に助言型の監査に切り替えなければならない。
イ 情報セキュリティ監査において,保証型の監査と助言型の監査は排他的であり,監査人はどちらで監査を実施するかを決定しなければならない。
ウ 情報セキュリティ監査を保証型で実施するか助言型で実施するかは,監査要請者のニーズによって決定するのではなく,監査人の責任において決定する。
エ 不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。