平成31年春期 セキュマネ 午前 問38

ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について，JIS Q 27001:2014（情報セキュリティマネジメントシステムー要求事項）の附属書Aの管理策に照らして監査を行った。判明した状況のうち，監査人が監査報告書に指摘事項として記載すべきものはどれか。

ア　ソフトウェア開発におけるセキュリティ機能の試験は，開発期間が終了した後に実施している。

イ　ソフトウェア開発は，セキュリティ確保に配慮した開発環境において行っている。

ウ　ソフトウェア開発を外部委託している場合，外部委託先による開発活動の監督・監視において，セキュリティ確保の観点を考慮している。

エ　パッケージソフトウェアを活用した開発において，セキュリティ確保の観点から，パッケージソフトウェアの変更は必要な変更に限定している。