ナビゲータのEVEです。
情報処理安全確保支援士のオンライン授業も一通り終え、現在、整理した資料を覚えている最中なのですが、一つ重大な誤りについて発見してしまいました。
システム的な監査には、情報セキュリティ監査と、システム監査があって、安全確保支援士は情報セキュリティ監査を取扱い、システム監査は、システム的な監査を取扱うという発言をしましたが、間違いでした。そもそも、情報処理安全確保支援士は、監査をするのと同時に、指導する立場にあります。そのため、対象システムの、最新の脆弱性、脅威の情報に気を払い、対象システムに影響があると判断した場合、対応するというところまで実施します。
しかし、システム監査は、業務監査等と同様で、監査し指摘はするけれど、それに対する強制的な権限は有しません。できるとしたら、ガバナンスを統治する管理者に報告するぐらいです。そういう意味で、情報処理安全確保支援士とシステム監査技術者には大きな差異があります。
加えてシステム監査技術者試験の過去問を見ていると、セキュリティに関する問題も出題されていました。ただ、最新の脅威について監査をしているのではなく、ペネトレーションテストをしているかとか、脆弱性診断を受けているかとか、セキュリティに関する開発マニュアルが整備されているかなどといった、整備状況及び運用状況について監査し、それを指摘するというレベルです。しかも、業務の効率性まで監査しています。確かに、内部統制では、
1)業務の有効性と効率性
2)財務情報の信頼性
3)法令順守
4)資産の保全
について監査することを目的としています。どうも、システム監査技術者もその範疇の域は出ないようです。だから、技術的な問題は出てくることはないのだと今更ながら理解できました。去年もシステム監査技術者試験を受験しましたが、ちょっと、仕事の内容を勘違いしていたようです。
そして、解答する範囲は、内部統制の6つの構成要素を中心に解答をすればいいようです。
1)統制環境
2)リスクの評価と対応
3)統制活動
4)情報と伝達
5)モニタリング
6)ITへの対応
どうでしょうか?あっていますでしょうか?今日、午後Tの問題を解きながら、そんな気付きがありました。
ただ、近頃勉強することに関して問題がありまして、それは、午後T、Uの勉強がはかどらないという点です。午前中って正直言ってあまり頭が働かないため、資料の整理とか、択一問題を解くなどといった時間に多くを使っていたのですが、そうすると、ずるずるとその時間が増えてしまい、結局午後T、Uの問題に手が回らないという事態になります。
やはり、不得意という認識があるのですから、最初にやって、時間があまったら、得意なことをするということにした方がいいようです。
情報処理安全確保支援士のオンライン講座のテストを明日から受講する予定です。早々に終わらせて頭を切り替えないと、今年もシステム監査技術者試験の午後の問題はひどいことになりそうです。
気付くことができてよかった!!!っと思ったことが今日の収穫です。
では、また!
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image