システム監査(全68問中6問目)

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
事務所の物理的セキュリティ対策について,JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)に基づいて情報セキュリティ監査を実施した。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。

出典:令和2年免除 問58

  • 外部からの荷物の受渡しは,サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。
  • 機密性の高い情報資産が置かれている部屋には,入室許可を得た者が共通の暗証番号を入力して入室している。
  • 機密性の高い情報資産が置かれる部屋は,社員以外の者の目に触れる場所を避けて設けている。
  • 取引先との打合せは,社員が業務を行っている執務室から分離された場所であって,かつ,機密性の高い情報資産が置かれていない場所で行っている。
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
解説
  • 「受渡場所は,配達要員が建物の他の場所にアクセスすることなく荷積み及び荷降ろしできるように設計する。」としているため適切な管理策です。
  • 正しい。「適切なアクセス制御の実施(例えば,アクセスカード及び秘密の個人識別番号のような,二要素認証の仕組みの導入)によって,秘密情報を処理又は保管する領域へのアクセスを,認可された者だけに制限する。」としており、共通の暗証番号では個人を特定できないため指摘事項となります。
  • 「主要な施設は,一般の人のアクセスが避けられる場所に設置する」としているので適切な管理策です。
  • 「セキュリティを保つべき領域又は秘密情報処理施設への,外部のサポートサービス要員によるアクセスは,限定的かつ必要なときにだけ許可する。…」としているため適切な管理策です。

出典


Pagetop