出た。情報セキュリティマネジメント試験の中の「システム監査」最も嫌いなんだわ・・・。わかりにくい・・・。というか馴染みがないから頭に入ってこないんですよね・・・。と文句ばっか言ってますが、情報セキュリティマネジメント試験に出ますので、押さえておきましょう!
情報処理試験に出る「システム監査」
システム監査の目的
監査する「監査人」のことが出る
情報セキュリティマネジメント試験では、システム監査の方法や手順、方法に用いられる手法などの用語が出ます。また、監査する側の監査人のことが出てきます。
システムを監査する人のことを「システム監査人」と言います。ここで試験に出るのは「独立性」です。
システム監査人は、システム監査される団体から独立しているが求められます。
- 公正にシステム監査を行うため「独立性」が求められる
- 倫理観や誠実性、専門能力が求められる
システム監査の順番
システム監査はどのような順番で行われるのか、システム監査の手順と内容が試験に出ます。
- 監査計画
何をするにもまずは計画です。監査する時期、範囲に対して監査計画を立てます。
- 予備調査
システム監査するために、必要な監査証拠をそろえるフェーズが予備調査です。予備調査では、システム管理者への聞き取り調査や、資料の確認を行います。ざっくり監査、みたいなイメージです。
- 本調査
そしていよいよ本調査です。予備調査で揃えた資料よりちゃんとした監査証拠を審査します。本調査では、システム監査人が現場への調査や、従業員への聞き取り、質問票やアンケートの実施などを行います。
- 評価
システム監査人は監査した結果を監査調書に整理します。
- 報告・指摘・改善勧告
システム監査人は、システムを監査した結果に指摘するところや、改善した方がよいところについてきちんと資料としてまとめます。これを改善勧告・是正勧告と言います。
改善、是正を受けたシステム管理者、および企業や団体はそれを正すための具体策を提示するなどして改善につとめるんですね。
システム監査に使うデータの取得方法が試験に出る
システム監査では、実際のシステムからデータを取って監査・分析することもあります。その時、データをどうとるのか、データの取り方や監査に関する手法がテストに出ますので、押さえておきましょう!
統計的サンプリング法
ぶっちゃけ、サンプリング法ですね。大量のデータの中から、ちょっとだけサンプルを取り出してそれらを分析します。サンプルを分析することで、大量のデータがどうなっているのか推測する方法です。
監査モジュール法
監査対象のプログラムに、監査用のプログラムモジュールを組み込み、監査データを取り出す方法です。
ディジタルフォレンジックス
これ出る!絶対出る! 証拠を集めて保管しておく方法のことを言います。システムを使ったログ(操作ログ)を取って、改ざんされないように取っておくことを言います。
ディジタルフォレンジックスは、情報セキュリティの基本、「責任追跡性」や「否認防止」にもつながりますね。
ペネトレーションテスト法
実際にシステムを攻撃し、侵入することで脆弱性を検査する方法です。いわゆる疑似攻撃ですね。Penetrationは浸透、とかそういう意味です。
ウォークスルー法
システム監査人が書面上や、実際のシステムを使ってデータ作成→入力→実行→活用までを追跡して監査することです。
まとめ・システム監査、難しい。監査の流れと監査人のことを覚えよう
いやー、ほんと情報セキュリティマネジメント試験でのシステム監査とかセキュリティマネジメントシステム(いわゆるISMS)のところって本当にわかりません。
せめて語句だけはしっかり理解して(つーか丸暗記)試験に備えましょう。
–こんなブログで勉強してはいけません。試験突破したいなら絶対本を買ってください—
システム監査とは
企業や団体など組織と呼ばれるところが、情報システムがきちんんと運用されているか調べて評価することです。そのとき、システム監査基準や、システム管理基準に沿って監査します。