ITパスポート 令和6年度 公開問題(過去問) 問48について解説します。
問題
問48 システム監査で用いる判断尺度の選定方法に関する記述として,最も適切なのはどれか。
ア システム監査ではシステム管理基準の全項目をそのまま使用しなければならない。
イ システム監査のテーマに応じて,システム管理基準以外の基準を使用してもよい。
ウ システム監査のテーマによらず,システム管理基準以外の基準は使用すべきでない。
エ アジャイル開発では,システム管理基準は使用すべきでない。
解説・解答
システム監査においては、評価対象(システムや運用)が適切であるかどうかを判断するための「判断尺度(評価基準)」が必要です。この判断尺度は監査の目的やテーマに応じて選定する必要があります。
それぞれの選択肢について確認します。
ア:システム監査ではシステム管理基準の全項目をそのまま使用しなければならない。
システム管理基準(経済産業省策定)は確かに有用ですが、常にすべての項目をそのまま使用する必要はありません。システム監査は監査テーマに応じたリスクや重要性を踏まえた柔軟な尺度設定が求められます。そのため、この記述は誤りです。
イ:システム監査のテーマに応じて,システム管理基準以外の基準を使用してもよい。
監査テーマがセキュリティに関するものであれば、情報セキュリティ管理基準やISO/IEC 27001などを利用しても構いません。実際の業務や業種・業界に応じて より適切な外部基準や内部基準を柔軟に使い分けるのが監査の基本です。そのため、この記述は正しいです。
ウ:システム監査のテーマによらず,システム管理基準以外の基準は使用すべきでない。
テーマによらず固定的に同じ基準を使うのは非効率かつ的外れになるリスクがあるため、この記述は誤りです。
エ:アジャイル開発では,システム管理基準は使用すべきでない。
アジャイル開発においても、システム管理基準は部分的に有効です。たとえば、変更管理やセキュリティ管理などはアジャイル開発でも当然必要な管理項目であり、状況に応じて基準は参照されます。そのため、この記述は誤りです。
以上により、この問題の解答は「イ」になります。
