« システム監査技術者試験・小論文の完成度について | メイン | 金融証券取引法に基づく内部統制のまとめ »

2008年3月 7日

システム監査技術者小論文=スタンダードの引用について=

システム監査技術者試験 小論文添削と質問

システム監査技術者試験の小論文添削受講生さんからの質問です
質問1=IT監査手法について=

CD-ROMの論文作成例(H19問1)によると「2.2監査手続き」でフォーマルな手続 きが論述されています。ここがよくわからないのですが、「設問アに関連して どのようなIT監査技法を用いるべきか」という問いに対して、標準的な監査手 続きを答えるべきなのでしょうか?

質問1への回答

 設問アへの関連性については以下のように考えます

  • 情報システムの実態に即していること
  • 企業の実態に即していること
具体的には次のような感じになります
  • オープン系分散システムではぺネトレーションテストで外部アクセスからの脆弱性の検証
  • サーバに対する、アクセスログの採取
  • アクセス権限に関連するアクセスパスの確認

 このほかにもITを使った監査技法、妥当と思われる手法であれば実態に即して書けば 何でも良いと思います。

質問2=他のスタンダードの参照について=

私はH19問1「3 IT監査の留意点」を論述するにあたり、セキュリティ管理基 準10.3章を参照しました。
例えばCD-ROMの論文作成例(H19問3)に「規約作りにあたってはISO17799を参考 にしておくとよいでしょう」とあるように、設問イウについては、一般的に設 問に対応する規約が存在し、それに思い当たるかどうかが勝敗を分けるのでは ないかと仮定したのですが、正しい考え方でしょうか?

質問2への回答

システム監査基準に、論文に使える規範や規約が載っていない場合、他のスタンダード (この場合は、システム管理基準、セキュリティ管理基準、ISO27000等)を参考して引用 するといいでしょう。
 おっしゃるとおり、他のスタンダードを覚えていなければ当然、そのようなものは思い浮かぶ はずもないですから。代表的基準は覚えておくにこしたことはないでしょう。

質問3=小論文構想について=

 そう考える一方で、添削にて「このような感覚でまとめてください」とご指摘 いただいた流れを読むと、一読すると当たり前に思えるけど試験会場で思いつ いて文章にまでまとめるのは困難、言い換えると、センスが問われているとい うか応用問題だな、という考えも持っています。
もしそうだとしたら、「このような感覚でまとめてください」との指摘事項は 加藤先生の経験をベースにしたオリジナルですか?

質問3への回答

 はい、私は独学の人なのですべてオリジナルです。
 割と、雑学的な知識を豊富に持っているタイプで、それを体系的に表現したり、 それを引き出して、1つのテーマで文章やストーリを作るのが得意です。
 法律などもそうですが、労働基準法を補完して労働派遣法や育児休業法がある訳で、 それぞれが補完関係にあるものです。
 同様にセキュリティ関連、監査関連のスタンダードも相互補完の関係にありますので 日ごろから意識して精読しておくことが肝要です。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2008年3月 7日 23:19