基本情報技術者試験 平成31年度 春期 午前 問60
監査報告書、情報セキュリティ管理基準、指摘事項、についての問題。
--------------------------
平成31年度 春期 午前 問60
A 社では、自然災害などの際の事業継続を目的として、業務システムのデータベースのバックアップを取得している。その状況について、"情報セキュリティ管理基準(平成 28 年)" に従って実施した監査結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア
バックアップ取得手順書を作成し、取得担当者を定めていた。
イ
バックアップを取得した電子記録媒体からデータベースを復旧する試験を、事前に定めたスケジュールに従って実施していた。
ウ
バックアップを取得した電子記録媒体を、機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。
エ
バックアップを取得した電子記録媒体を、業務システムが稼働しているサーバの近くで保管していた。
--------------------------
解説
情報セキュリティ管理基準(平成 28 年)は経済産業省の HP で見ることができる。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
情報セキュリティマネジメントの基準(≒ あるべき姿)が色々と書かれていて、事業継続に関しての基準は 17 章に書かれている。
目的にあったプロセスや手順、管理策を実施しているか、妥当性や有効性を確認するレビューをしているか、などなど。
84 ページもあるので全部読むのは大変だけど、一度目を通しておくと新たな観点が得られるはず。
この問題が聞いているのは選択肢の状況のうち、指摘事項として監査報告書に記載すべき選択肢はどれか、というもの。
監査報告書には良くなかった点と併せて良かった点も記載される。
"指摘"
欠点や過失などを具体的に取り上げて指し示すこと。例:弱点を指摘する。
という意味の言葉なので、指摘事項としては良くなかった点を記載することになる。
もう一方の良かった点はグッドポイントとかストロングポイントといった呼び方で記載される。なぜこっちだけ英語。
選択肢を順に見ていく。
選択肢ア「バックアップ取得手順書を作成し、取得担当者を定めていた。」
何も悪くない。
取得担当者を定めて責任を明確にしておくことは大事。
誰かがやるだろう、は誰もやらない。
選択肢イ「バックアップを取得した電子記録媒体からデータベースを復旧する試験を、事前に定めたスケジュールに従って実施していた。」
何も悪くない。
バックアップを取得しただけで安心していると、いざという時に地獄を見る。
リストア作業はだいたい思った通りにならないイメージ。
事業継続を目的としている重要な話なので、事前にスケジュールを決めたリストアの試験は確実に実施しておくべき。
選択肢ウ「バックアップを取得した電子記録媒体を、機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。」
何も悪くない。
外部の会社に媒体を委託保管、と聞くと情報漏洩の可能性が思い浮かぶかもしれないが、機密保持を含む契約をしっかり取り交わしているので問題なしと考える。
実際はその倉庫会社が問題ない会社であるかもしっかり調査した上での管理策になっているはず。
また、自然災害などの際の事業継続を目的としているので、"外部の" 倉庫会社に媒体があることは目的にあった管理策となる。
選択肢エ「バックアップを取得した電子記録媒体を、業務システムが稼働しているサーバの近くで保管していた。」
これは良くない。
選択肢ウで書いた通り、目的は自然災害などの際の事業継続である。
業務システムが稼働しているサーバの近くにバックアップ媒体を保管している場合、地震や津波で業務システムがやられた時にバックアップ媒体も同時にやられてしまい、事業継続ができなくなる。
ということで、問題の正解は選択肢エ。
前後の問題はこちら。