【丸暗記36問】情報処理安全確保支援士試験 午前Ⅱ－サービスマネジメント・システム監査

【ア】IDF(Intermediate Distributing Frame)

【イ】MCCB(Molded Case Circuit Breaker)

【ウ】アレスタ

【エ】避雷針

【ア】フルバックアップ1回当たりの磁気テープ使用量が約2倍になる。

【イ】フルバックアップ1回当たりの磁気テープ使用量が約半分になる。

【ウ】フルバックアップ取得の平均実行時間が約2倍になる。

【エ】ログ情報を用いて復旧するときの処理時間が平均して約2倍になる。

【ア】インシデントの発生後に暫定的にサービスを復旧させ，業務を継続できるようにする。

【イ】インシデントの発生後に未知の根本原因を特定し，恒久的な解決策を策定する。

【ウ】インシデントの発生に備えて，復旧のための設計をする。

【エ】インシデントの発生を記録し，関係する部署に状況を連絡する。

【ア】インシデントの根本原因を究明する。

【イ】過去に同様のインシデントが発生していないか調査する。

【ウ】過去のインシデントの記録を分析し，今後起こりそうなインシデントを予測する。

【エ】根本原因を突き止めた問題を既知のエラーとして登録する。

【ア】チェックポイントリスタート

【イ】リブート

【ウ】ロールバック

【エ】ロールフォワード

【ア】CMDBに記録されているCIの原本を，セキュリティが保たれた物理的又は電子的に格納庫で管理しなければならない。

【イ】潜在的な問題を低減させるために，予防処置をとらなければならない。

【ウ】変更要求が情報セキュリティ基本方針及び管理策に与える潜在的影響を評価しなければならない。

【エ】変更要求の受入れについての意思決定では，リスク，事業利益及び技術的実現可能性を考慮しなければならない。

【ア】共通データベースの格納場所を複数のハードディスクに分散させる。

【イ】サーバディスクを二重化し，通常稼働時は同時に二つのディスクに書き込む。

【ウ】サーバの予備機を設置し，OSとアプリケーションソフトを本番機と同じ構成にして待機させておく。

【エ】別のディスクにデータベースを毎週末にコピーする。

【ア】ITサービス応答時間の大幅な超過

【イ】ITサービスの新人向け教育の依頼

【ウ】ITサービスやシステムの機能，使い方に対する問合せ

【エ】新設営業所へのITサービス提供の要求

【ア】出力帳票の受渡しは授受管理表などを用いて確実に行い，情報の重要度によっては業務部門の管理者に手渡しする。

【イ】出力帳票の利用状況を定期的に点検し，利用されていないと判断したものは，情報システム部門の判断で出力を停止する。

【ウ】チェックによって発見された入力データの誤りは，情報システム部門の判断で修正する。

【エ】入力原票やEDI受信ファイルなどの取引情報は，機密性を確保するために，データをシステムに取り込んだら速やかに廃棄する。

【ア】悪意によるデータ改ざんを防ぐ。

【イ】コンピュータウイルスによるデータの破壊を防ぐ。

【ウ】災害発生時にシステムが長時間停止するのを防ぐ。

【エ】操作ミスによるデータの削除を防ぐ。

【ア】IT機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないための板であり，IT機器がマウントされていないラックの空き部分に取り付ける。

【イ】寒冷な外気をデータセンター内に直接導入してIT機器を冷却するときの，データセンターへの外気の吸い込み口である。

【ウ】空調機からの冷気とIT機器からの熱排気を分離するために，ラックの前面(吸気面)同士を対向配置したときの，ラックの前面同士に挟まれた冷気の通る部分である。

【エ】発熱量が多い特定の領域に対して，全体空調とは別に個別空調装置を設置するときの，個別空調用の冷媒を通すパイプである。

【ア】新しいサービスの要求を利用者から受け付け，企画立案すること

【イ】一時的回避策で対処した問題を分析し，恒久対策を検討すること

【ウ】潜在的な問題を事前に発見し，変更要求として取りまとめること

【エ】低下したサービスレベルを回復させ，影響を最小限に抑えること

【ア】1年以内に実現できる改善を実施する。

【イ】経営資源の状況を踏まえて改善を実施する。

【ウ】情報システムの機能面の改善に絞って実施する。

【エ】被査部門の情報化予算の範囲内で改善を実施する。

【ア】個人情報管理台帳に，概数でしかつかめない個人情報の保有件数は概数だけで記載している。

【イ】個人情報管理台帳に，ほかの項目に加えて，個人情報の保管場所，保管方法，保管期限を記載している。

【ウ】個人情報管理台帳の機密性を守るための保護措置を講じている。

【エ】個人情報管理台帳の見直しは，新たな個人情報の取得があった場合にだけ行っている。

【ア】監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり，監査人の規範である。

【イ】情報資産を保護するためのベストプラクティスをまとめたものであり，監査マニュアル作成の手引書である。

【ウ】情報セキュリティ監査業務の品質を確保し，有効かつ効果的に監査を実施することを目的とした監査人の行為規範である。

【エ】組織体が効果的な情報セキュリティマネジメント体制を構築し，適切なコントロールを整備，運用するための実施規範である。

【ア】雇用の終了をもって守秘責任が解消されることが，雇用契約に定められている。

【イ】定められた勤務時間以外においても守秘責任を負うことが，雇用契約に定められている。

【ウ】定められた守秘責任を果たさなかった場合，相応の措置がとられることが，雇用契約に定められている。

【エ】定められた内容の守秘義務契約書に署名することが，雇用契約に定められている。

【ア】開発プロセスにおけるコントロールを評価する際には，開発規模及び影響度の大きい案件を選定することによって，母集団全体への評価を導き出すことができる。

【イ】コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。

【ウ】正しいサンプリング手順を踏むことによって，母集団全件に対して検証を行う場合と同じ結果を常に導き出すことができる。

【エ】母集団からエラー対応が行われたデータを選定することによって，母集団全体に対してコントロールが適切に行われていることを確認できる。

【ア】システム監査業務の品質を確保し，有効かつ効率的に監査を実施するため

【イ】情報システムが，組織体の目的を実現するように安全，有効かつ効率的に機能するため

【ウ】情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう，リスクマネジメントに基づくコントロールの整備・運用の状況を評価するため

【エ】リスクに対するコントロールをシステム監査人が評価し，保証又は助言を行い，ITガバナンスの実現に寄与するため

【ア】ソフトウェア開発におけるセキュリティ機能の試験は，開発期間が終了した後に実施している。

【イ】ソフトウェア開発は，セキュリティ確保に配慮した開発環境において行っている。

【ウ】ソフトウェア開発を外部委託している場合，外部委託先による開発活動の監督・監視において，セキュリティ確保の観点を考慮している。

【エ】パッケージソフトウェアを活用した開発において，セキュリティ確保の観点から，パッケージソフトウェアの変更は必要な変更に限定している。

【ア】組織としてアクセス管理規程を定め，統一的なアクセス管理を行う。

【イ】組織としてアクセス権限の設定方針を定め，周知徹底を図る。

【ウ】組織内のアプリケーションシステムに，業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。

【エ】組織内の全ての利用者に対して，アクセス管理の重要性についての教育を行う。

【ア】委託した開発案件の品質を委託元の管理者が定期的にモニタリングしている。

【イ】委託元の管理者が委託先の開発担当者を指揮命令している。

【ウ】契約書に機密保持のための必要事項が盛り込まれている。

【エ】特定の委託先との契約が長期化しているので，その妥当性を確認している。

【ア】売掛金管理システムにおける入力データと出力結果とのランツーランコントロール

【イ】売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能

【ウ】入金額及び入金データ件数のコントロールトータルのチェック

【エ】入出金管理システムへの入力のエディットバリデーションチェック

【ア】委託元責任者が，一定期間ごとに，専門業者における媒体保管状況を確認している。

【イ】委託元責任者が，専門業者との間で，機密保持条項を盛り込んだ業務委託契約を結んだ上で引き渡している。

【ウ】委託元担当者が，専用の記録簿に，引渡しの都度，日付と内容を記入し，専門業者から受領印をもらっている。

【エ】委託元担当者が，バックアップ媒体を段ボール箱に入れ，専門業者に引き渡している。

【ア】システム運用段階で新システムの稼働状況がレビューされ，その結果についてシステム開発部門及び利用部門の責任者の承認が得られていること

【イ】システム開発段階で抽出された問題への対策が，次期システム改善計画に反映されていること

【ウ】システム企画段階で，システムの投資対効果が評価されていること

【エ】利用部門を含めた各部門の役割と責任を明確にした本番移行計画が作成されていること

【ア】監査対象部門が，監査報告後に改善提案への対応方法を記入したもの

【イ】監査対象部門が，予備調査前に当該部門の業務内容をとりまとめたもの

【ウ】監査人が， 実施した監査のプロセスを記録したもの

【エ】監査人が，年度の監査計画を監査対象ごとに詳細化して作成したもの

【ア】DBMSの管理者ID

【イ】アプリケーションの利用者ID

【ウ】サーバのOSの利用者ID

【エ】ストレージデバイスの管理者ID

【ア】クラウドサービスの障害時における最大許容停止時間が検討されているか。

【イ】クラウドサービスの利用者IDと既存の社内情報システムの利用者IDの一元管理の可否が検討されているか。

【ウ】クラウドサービスを提供する事業者が信頼できるか，事業者の事業継続性に懸念がないか，及びサービスが継続して提供されるかどうかが検討されているか。

【エ】クラウドサービスを提供する事業者の施設内のネットワークに，暗号化通信が採用されているかどうかが検討されているか。

【ア】監査人が収集又は作成する資料であり，監査報告書に記載する監査意見や指摘事項は，その資料によって裏付けられていなければならない。

【イ】監査人が当初設定した監査手続を記載した資料であり，監査人はその資料に基づいて監査を実施しなければならない。

【ウ】機密性の高い情報が含まれている資料であり，監査人は監査報告書の作成後，速やかに全てを処分しなければならない。

【エ】被監査部門が監査人に提出する資料であり，監査人が自ら作成する資料は含まれない。

【ア】アクセス権限削除申請書の全件について，利用者IDリストから削除されていることを確認する。

【イ】最新の利用者IDリストの全件について，対応するアクセス権限削除申請書が存在しないことを確認する。

【ウ】人事発令簿の退職者の全件について，利用者IDリストから削除されていることを確認する。

【エ】利用者IDリストの更新履歴の全件について，対応するアクセス権限削除申請書の存在を確認する。

【ア】監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。

【イ】情報システムリスクの大小にかかわらず、全ての監査対象に対して一律に監査資源を配分する。

【ウ】情報システムリスクは，情報システムに係るリスクと，情報の管理に係るリスクの二つに大別されることに留意する。

【エ】情報システムリスクは常に一定ではないことから，情報システムリスクの特性の変化及び変化がもたらす影響に留意する。

【ア】利用者がデータベースにアクセスすることによって業務が効率的に実施できるかどうかを確認するために，システム仕様書を閲覧する。

【イ】利用者がデータベースにアクセスするための画面の操作手順が操作ミスを起こしにくい設計になっているかどうかを確認するために，利用者にヒアリングする。

【ウ】利用者が要求した応答時間が実現できているかどうかを確認するために，データベースにアクセスしてから出力結果が表示されるまでの時間を測定する。

【エ】利用者のデータベースに対するアクセス状況を確認するために，アクセス記録を出力し内容を調査する。

【ア】経営企画部が行っている中期経営計画の策定の経緯

【イ】人事部が行っている従業員の人事考課の結果

【ウ】製造部が行っている不良品削減のための生産設備の見直しの状況

【エ】販売部が行っているデータベースの入力・更新における正確性確保の方法

【ア】改善事項を被監査部門へ事前に通知した場合，不備の是正が行われ，元から不備が存在しなかったように見える可能性があるので，被監査部門に秘匿する。

【イ】監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので，改善勧告の前に，改善策について被監査部門との間で協議する場をもつ。

【ウ】経営判断に関与することを避けるため，不備を改善する際の経済合理性などの判断を行わず，そのまま経営者に対する改善勧告とする。

【エ】将来のフォローアップに際して，客観的で中立的な判断を阻害する要因となるので，改善勧告の優先度付けや取捨選択を行うことを避ける。

【ア】更新ログ上は，アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。

【イ】事前のデータ変更申請の承認，及び事後のデータ変更結果の承認を行っていた。

【ウ】直接修正の作業終了時には，直接修正用の特権IDを無効にしていた。

【エ】利用部門からのデータ変更依頼票に基づいて，システム部門が直接修正を実施していた。

【ア】あるメンバを，当該メンバが過去に在籍していた部門に対する監査に従事させる場合，一定の期間を置く。

【イ】監査責任者は，当該株式会社の株主に限る。

【ウ】監査部門の在籍期間について，メンバの場合は制限がないが，監査責任者の場合は会社法における監査役の任期を下回ってはならない。

【エ】メンバの給与その他の報酬の水準は，監査部門に在籍中は引き下げてはならない。

【ア】移行作業と併せて，システム運用部門及びシステム利用部門に対する新システムの操作教育を計画し，実施していた。

【イ】移行対象，移行方法，移行実施体制及び移行スケジュールを明記した移行計画に従って，移行作業を行っていた。

【ウ】移行ツールを利用して，データベースの移行及びその移行結果の検証を行っていた。

【エ】システム開発部門内に検証体制を作って移行結果の検証を行い，移行完了としていた。