問 38 | R07-public Management
情報セキュリティ監査の説明として、最も適切なものはどれか。
解説
情報セキュリティ監査は、組織の情報セキュリティ対策が、あらかじめ定められた基準や規程に基づいて適切に実施されているかを、独立した立場の監査人が検証・評価することです。
- ア:システム監査全般の説明です(ガバナンスへの言及があるため)。
- イ:物理的セキュリティ対策(ワイヤーロックなど)の説明です。
- ウ:ITガバナンス(またはIT戦略策定)の説明です。
- エ:情報セキュリティのリスクマネジメントが効果的に機能しているかを評価するため、セキュリティ監査の説明として適切です。
※経済産業省の「情報セキュリティ監査基準」等でも、効果的なリスクマネジメントの実現を目的として掲げています。
したがって、正解は エ です。