システム監査 H29午後1自分用メモ
URL システム監査委
・出典:平成29年度 春期 システム監査技術者試験 過去問題・解答例
(一部改変)
設問 解答例・解答の要点 備考
問1:在庫管理システム統合計画の監査
●設問1
〔リスク及びコントロールの状況〕の(1)について、K氏がこのように指摘した理由を、50字以内で述べよ。
↓
〇解答
設問1 A 社がB 社から仕入れたモジュール製品製造用の製品にB 社と異なる製品コードが設定されているから
●設問2
【リスク及びコントロールの状況】の(2)について、
表1中の項番2に追加して記述すべきコントロールを、40字以内で述べよ。
↓
〇解答
設問2 登録入力ができる担当者と承認入力ができる責任者を別の者とする。
●設問3
表1中のコントロール[a]に入れる適切な内容を、40字以内で述べよ。
↓
〇解答
設問3 :a: 在庫移管開始前に全ての棚卸差異データの承認入力が完了していることを確認する。
●設問4
〔リスク及びコントロールの状況〕の(3)
について、
長期滞留品の抽出漏れが生じないようになっているかを確かめるための監査手続を、統合計画に着目し、45字以内で述べよ。
↓
〇解答
設問4 システム担当者に質問し,最終出庫日が在庫移管日で置き換えられないことを確認する。
●設問5
〔合併の背景〕に記載されている狂況を踏まえて、統合PTに対し、統合後の在庫管理システムに関して、確認すべき事項を、45字以内で述べよ。
↓
〇解答
設問5 統合後の取引件数及び品目数の増加に対応できるシステムの処理能力が検討されていること
問2:システム開発における品質管理の適切性の監査
●設問1
【詳細設計工程の完了判定に関する確認〕の(1)について、レビュー指摘件数のカウント方法について、監査部が品質管理部に確認した内容を、50字以内で述べよ。
↓
〇解答
設問1: レビュー指摘件数としてカウントする指摘内容の判断基準が明文化され,各開発部に周知されているか。
●設問2
【詳細設計工程の完了判定に関する確認)の(2)について、監査部が、工程完了の判定が妥当であると判断するために確認した内容を、40字以内で述べよ。
↓
〇解答
設問2 :実績値が指標値を下回った理由について,品質管理部が審査して承認していること
●設問3
【詳細設計工程の完了判定に関する確認〕の(3)について、次の(1)、(2)に答えよ。
(1)監査部が一覧表を用いて確認しようとしたことを、40宇以内で述べよ。
↓
〇解答
(1) レビューアによってレビュー観点が異なり,指摘区分に偏りが発生していないか。
(2)監査部が実施した騙査手続には改善すべき点がある。どのように改善すべきか、理由を含め、45字以内で述べよ。
↓
〇解答
(2) 表計算ソフトを使用して傾向を分析するなら,サンプリングではなく全件調査すべきである。
●設問4
〔システムテスト工程の完了判定に関する確認〕について、監査部が品質管
理部にヒアリングを行って確認したことを、45守以内で述べよ。
↓
〇解答
設問4 テスト標準で定められたテスト密度などの実績値が工程完了の判定基準に含まれているかどうか。
問3:制御ネットワークおよび制御システムの監査
●
●設問1
[本調査での発見事項】の(1)について、
“D社における全社的なセキュリティ管理の観点からは内容の確認が行われていない“ことから、
システム監査人が、製油所安全管理規程と情報セキュリティ管理規程に関して確認すべき内容を、40字以内で述べよ。
↓
〇解答
設問1 両規程で定められたセキュリティ管理のレベルが同等であり,相互に矛盾がないこと
●設問2
【本調査での発見事項〕の(2)について、システム監査人が想定した“システム設定上の不備に起因するセキュリティインシデント“とは何か。50字以内で述べよ。
↓
〇解答
設問2 不要なアクセス権をもつ社員などによる情報の持出しやインターネット経由の外部からの不正アクセス
●設問3
[本調査での発見事項〕の(3)について、次の(1)、(2)に答えよ。
(1)セキュリティ管理者によるセキュリティパッチ適用前の確認が行われていることを、システム監査人が確かめる場合、どのような文書を査関すべきか。
ニつ挙げ、それぞれ20字以内で答えよ。
↓
〇解答
設問3 (1)
① ・セキュリティパッチ適用計画書
② ・制御データ処理時の影響調査結果報告書
(2)システム監査人が想定した“0Sの脈弱性を突いたなセキュリティインシデント発生に備えた補完的コントロール“&、20字以内で答えよ。
↓
〇解答
(2) 侵入防御システムの導入による防御
●設問4
【本調査での発見事項)の(4)について、システム監査人が、対策①、②の他に、
制御ネットワーク側で遠隠監視・保守に伴う不正なアクタセスを防ぐための
技術的対策が適切に講じられていることを確認するための監査手続を、50字以内で述べよ。
↓
〇解答
設問4 :ポリシを査閲し,遠隔監視・保守に必要なパケットだけを通過させる設定になっていることを確認する。
###
出典
R5
https://www.ipa.go.jp/shiken/mondai-kaiotu/2023r05.html#aki_au
R4
https://www.ipa.go.jp/shiken/mondai-kaiotu/2022r04.html#aki_au
R3
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_au
R2
https://www.ipa.go.jp/shiken/mondai-kaiotu/2020r02.html#aki_au
R1
https://www.ipa.go.jp/shiken/mondai-kaiotu/2019h31.html#haru_au
H30
https://www.ipa.go.jp/shiken/mondai-kaiotu/2018h30.html#haru_au
H29
https://www.ipa.go.jp/shiken/mondai-kaiotu/2017h29.html#haru_au
H28
https://www.ipa.go.jp/shiken/mondai-kaiotu/2016h28.html#haru_au
H27
https://www.ipa.go.jp/shiken/mondai-kaiotu/2015h27.html#haru_au
H26
https://www.ipa.go.jp/shiken/mondai-kaiotu/2014h26.html#haru_au
###
システム管理基準
経産省
https://www.meti.go.jp/policy/netsecurity/sys-kansa/
システム監査基準
https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf
システム管理基準
https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kanri-2023.pdf
########
IPA過去問題の利用について
リンク
https://www.ipa.go.jp/shiken/faq.html#seido
抜粋)
当機構で公表している過去の試験問題の使用に関し、許諾や使用料は必要ありません。(ダウンロードでのご利用も特に問題ございません。)
ただし、以下の留意点を必ず確認の上、ご使用ください。
留意点
著作権は放棄していません。
教育目的など、情報処理技術者試験制度、情報処理安全確保支援士制度の意義に反しない限り、公表されている過去問題を問題集やテキストに使用される際、許諾および使用料の必要はありません。
出典を以下のように明記してください。(年度、期、試験区分、時間区分、問番号等)
[例]「出典:平成31年度 春期 基本情報技術者試験 午前 問1」
また、問題の一部を改変している場合、その旨も明記してください。公表しているPDF以外の電子データの提供はできません。
(PDFセキュリティの解除方法は提供できません。)
この記事が気に入ったらサポートをしてみませんか?