〇論文設計テンプレート
太字:問題文抜粋箇所
設問ア
1. 組織の主な業務と保有する情報システムの概要
1.1 組織の主な業務
・〇〇業を展開している大手
・〇〇を活用した当該サービスを営業部へ提供
・〇〇事業
1.2 保有する情報システムの概要
〇〇事業
・Aシステム
・Bシステム
└前期、システムの大規模改修有。
・Cシステム
・Dシステム
全ての情報システムに対して一律に監査を実施することは必ずしも合理的とは言えない。
設問イ
2. 監査部門が行うリスク評価と留意点
2.1 リスク評価と手順
①情報システムを取り巻く外部環境
②情報システムを取り巻く内部環境
・事業移管に伴うBシステムの大規模改修
③リスク評価対象の選定
・Bシステム
④リスク評価の実施
⑤監査目的、監査方針の見直し
⑥監査対象情報システムの選定
⑦年度監査計画の作成
2.2 リスク評価の留意点
(1)チェックリストの見直し
(2)優先順位の決定方法
・発生確率*影響度
※個人情報及び機密情報を考慮
設問ウ
3. 監査部門以外が実施したリスク評価を利用することの利点、問題点等
ex)CSA,PCIDSS,ISO2700,脆弱性診断結果
3.1 監査部門以外が実施したリスク評価を利用することの利点
限られた監査資源で監査を効果的かつ効率よく実施可
・情報セキュリティ専門家によるリスク評価のため信頼度が高い
・監査活動の人的資源を有効活用
3.2 監査部門以外が実施したリスク評価を利用することの問題点と監査部門として必要な措置
(1)リスク評価者の適切性確認
(2)対象の網羅性確認
(3)レビュー実施状況の確認