「応用情報技術者試験/平成31年春季午前問60」監査人が監査報告書に指摘事項として記載すべきもの

問題

出典:応用情報技術者平成31年春季午前問60

事務所の物理的セキュリティ対策について、
JIS Q 27002:2014(情報セキュリティ管理策の実線のための規範)
に基づいて情報セキュリティ監査を実施した。

判明した状況のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。

ア:外部からの荷物の受渡しは、サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。

イ:機密性の高い情報資産が置かれている部屋には、入室許可を得た者が共通の暗証番号を入力して入室している。

ウ:機密性の高い情報資産が置かれる部屋は、社員以外の者の目に触れる場所を避けて設けている。

エ:取引先との打ち合わせは、社員が業務を行っている執務室から分離された場所であって、かつ、機密性の高い情報資産が置かれていない場所で行っている。

解説

「指摘事項として記載すべきものはどれか」という問いなので、間違っている行為である選択肢を挙げればよい。

セキュリティ的な観点が甘いものは選択肢のイであり、「共通の暗証番号」という箇所が問題である。
暗証番号は各個人において割り当てないと、個人を特定できないので問題となる。
誰が、機密性の高い部屋に入ったかも不明だし、仮に入室許可のない者に暗証番号が漏れてしまったとしても、誰が漏らしたのかが追求できないので、問題である。

解答

正解:イ

アドセンス
改行

テックキャンプ