スタートページWeb教材目次選択肢試験目次

su07 情報セキュリティアドミニストレータ
平成19年度


[su07-01][su05-01]

メモリの誤り制御方式で,2ビットの誤り検出機能と,1ビットの誤り訂正機能をもせるのに用いられるものはどれか。
 ア 奇数パリティ イ 水平パリティ ウ チェックサム エ ハミング符号

【解答】

[su07-02][sd07-08]

マルチプログラムの多重度の設定を過度に小さくした場合に発生する現象として、適切なものはどれか。
 ア CPUの使用率が上がる。
 イ 各プロセスの処理時間が長くなる。
 ウ 主記憶の使用率が下がる。
 エ ページフォールトの発生回数が多くなる。

【解答】

[su07-03]

CPUと磁気ディスクで構成されるシステムで、表に示すジョブA、Bを実行する。この二つのジョブが実行を終了するまでのCPUの使用率と磁気ディスク装置の使用率との組合せのうち、適切なものはどれか。ここで、ジョブA、Bはシステムの動作開始時点ではいずれも実行可能状態であり、A、Bの順で実行される。CPU及び磁気ディスク装置は、ともに一つの要求だけを発生順に処理する。ジョブA、Bとも、CPUの処理を終了した後、磁気ディスクの処理を実行する。

     ジョブ CPU   磁気ディスク装置
         の処理時間 の処理時間
      A    3分     7分
      B   12分    10分

   CPUの使用率 磁気ディスク装置の使用率
 ア   0.47      0.53
 イ   0.60      0.68
 ウ   0.79      0.89
 エ   0.88      1.00

【解答】

[su07-04]

故障発生率が1.0×10-6回/秒である機器1,000台が稼働している。200時間経過後に、故障していない機器の平均台数に最も近いものはどれか。
 必要であれば、故障発生率をλ回/秒、稼働時間をt秒とする次の指数関数のグラフから値を読み取って、計算に利用してよい。

ア 50   イ 500   ウ 950   エ 995

【解答】

[su07-05]

複数の利用者がWebブラウザを用いて、コンテンツを追加したり、編集・削除したりできるWebコンテンツの管理システムを何というか。
 ア RDF   イ RSS   ウ Wiki   エ ブログ

【解答】

[su07-06][sd05-07]

2.4GHz帯の電波を利用し、半径10mの範囲で1Mビット/秒程度までの通信速度を実現する無線技術はどれか。
 ア Bluetooth 1.0  イ IEEE 802.11b  ウ IEEE 802.11g  エ IrDA

【解答】

[su07-07][fe072-43][ad072-27][sd02-13]

DFDの説明として,適切なものはどれか。

  • ア 業務などの処理手順を流れ図記号を用いて視覚的に表現したもの
  • イ システムの状態がどのようにして推移していくかを視覚的に表現したもの
  • ウ 実体及び実体間の関連という概念を用いてデータの構造を視覚的に表現したもの
  • エ 適用業務をデータの流れに注目して,視覚的に表現したもの

【解答】

[su07-08][sd07-12]

オブジェクト指向において図のように階層クラスを定義する場合、クラス間の関係の説明として、適切なものはどれか。

  • ア 「バス」、「トラック」などのクラスが「自動車」の定義から引き継ぐことを、インスタンスという。
  • イ 「バス」、「トラック」などのクラスの共通部分を抽出して、「自動車」のクラスとして定義することを、汎化という。
  • ウ 「バス」、「トラック」などのクラスは、「自動車」のクラスに対して、オブジェクトという。
  • エ 「バス」、「トラック」などのそれぞれのクラスの違いを、「自動車」のクラスとして定義することを、特化という。

【解答】

[su07-09][sd04-15]

ブラックボックステストのテストデータの作成方法として,最も適切なももはどれか。
 ア 稼動中のシステムから実データを無作為に抽出し,テストデータを作成する。
 イ 機能仕様から同値クラスや限界値を識別し,テストデータを作成する。
 ウ 業務で発生するデータの発生頻度を分析し,テストデータを作成する。
 エ プログラムの流れ図から,分岐条件に基づいたテストデータを作成する。

【解答】

[su07-10][su05-11]

ソフトウェアの開発規模と開発工数の関係を表すグラフはどれか。

【解答】

[su07-11]

EVM(Earned Value Management)は、プロジェクト全体のスケジュールの遅れやコストの超過を可視化する進捗管理手法である。図のAが示すものはどれか。

ア 進捗の遅れ日数    イ 進捗の遅れを金額で表した値
 ウ 実質的な削減金額   エ 実質的な超過金額

【解答】

[su07-12]

ネットワーク構成の管理に関する記述のうち、適切なものはどれか。

  • ア ネットワーク構成の変更のつど、ネットワーク構成図を更新する。
  • イ ネットワーク構成の変更は、失敗したときの影響が大きいので、最初の構築時に十分な検討を行い、構築後は安定運用確保のために、変更を受け付けないようにする。
  • ウ ネットワーク構成の変更は、その多少にかかわらず、安全性確保の観点から全ユーザ業務を必ず停止して実施する。
  • エ ネットワーク構成は、一度決めると変更の頻度は低いので、変更部分だけを記録して管理する。

【解答】

[su07-13][sd07-21]

ITサービスマーケティングのフレームワークであるITIL(Information Technology Infrastructure Library)におけるITサービス継続性管理の目的はどれか。

  • ア 自然災害などの非日常的な要因でシステムが停止した場合の対策を立て、ビジネスへの影響を許容範囲内に収める。
  • イ 日常的なハードウェア障害やソフトウェア不良による障害から業務処理が正常にできるまでに復旧させる。
  • ウ ビジネス活動に必要なシステムを、必要なときに利用可能であるように保証する。
  • エ 未知の問題が発生したときに、その問題を回避するための方策を立案する。

【解答】

[su07-14]

TCP/IPネットワークにおいて、TCPを使用するアプリケーションはどれか。
 ア DHCP   イ FTP   ウ ICMP   エ NTP

【解答】

[su07-15]

電源オフ時にIPアドレスを保持することができない装置が、電源オン時に自装置のMACアドレスから自動的に割り当てられているIPアドレスを知るために用いるデータリンク層のプロトコルで、ブロードキャストを利用するものはどれか。
 ア ARP   イ DHCP   ウ DNS   エ RARP

【解答】

[su07-16]

UDPのヘッダフィールドにはないが、TCPのヘッダフィールドには含まれる情報はどれか。
 ア 宛先ポート番号  イ シーケンス番号  ウ 送信先ポート番号  エ チェックサム

【解答】

[su07-17]

ネットワークに接続されているホストのIPアドレスが 212.62.31.90 で、サブネットクラスが 255.255.255.224 のとき、ホストアドレスはどれか。
 ア 10   イ 26   ウ 90   エ 212

【解答】

[su07-18]

メールサーバ上のメールボックスで管理することによって、次の二つの特徴をもつものはどれか。
(1)発信者やタイトルを確認してからメールをダウンロードするかどうかを決めることができる。
(2)文字列などでメールサーバ上のメールボックス内のメッセージの検索ができる。
 ア APOP  イ IMAP4  ウ POP3  エ SMTP

【解答】

[su07-19]

TCP,UDPのポート番号を識別し、プライベートIPアドレスとグローバルIPアドレスとの対応関係を管理することによって、プライベートIPアドレスを使用するLANの複数の端末が、一つのグローバルIPアドレスを共有してインターネットにアクセスする仕組みはどれか。
 ア IPスプーフィング  イ IPマルチキャスト  ウ NAPT  エ NTP3

【解答】

[su07-20]

図のようなネットワーク構成のシステムにおいて,同じメッセージ長のデータをホストコンピュータとの間で送受信した場合のターンアラウンドタイムは,端末Aでは450ミリ秒,端末Bでは700ミリ秒であった。上り,下りのメッセージ長は同じ長さで,ホストコンピュータでの処理時間は端末A,端末Bのどちらから利用しても同じとするとき,端末Bからホストコンピュータへの片道の伝送時間は何ミリ秒か。ここで,ターンアラウンドタイムは,端末がデータを回線に送信し始めてから応答データを受信し終わるまでの時間とし,伝送時間は回線速度だけに依存するものとする。

ア 100  イ 150  ウ 200  エ 250

【解答】

[su07-21]

CSMA/CD方式に関する記述のうち,適切なものはどれか。

  • ア 衝突発生時の再送動作によって,衝突の頻度が増すとスループットが下がる。
  • イ 送信要求の発生したステーションは,共通伝送路の搬送波を検出してからデータを送信するので,データ送出後の衝突は発生しない。
  • ウ ハブによって複数のステーションが分岐接続されている構成では,衝突の検出ができないので,この方式は使用できない。
  • エ フレームとしては任意長のビットが直列に送出されるので,フレーム長がオクテットの整数倍である必要はない。

【解答】

[su07-22][≒sd04-25]

所有者と公開鍵の対応付けをするのに必要な方式、システム、プロトコル及びポリシの集合によって実現できるものはどれか。
 ア IPsec  イ PKI  ウ ゼロ知識証明  エ ハイブリッド暗号

【解答】

[su07-23]

ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

  • ア あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いて,ウイルス検査対象と比較し,同じパターンがあれば検出する。
  • イ ウイルスに感染していないことを保証する情報をあらかじめ付加しておき,検査対象の検査時に保証が得られないことで検出する。
  • ウ ウイルスの感染が疑わしい検査対象と,安全な場所に保管する原本とを比較し,異なっていれば感染を検出する。
  • エ ウイルスの実際の感染や発病によって生じる書込み動作の異常や通信量の異常増加などの変化を監視して検出する。

【解答】

[su07-24]

不正利用を防止するためにメールサーバ(SMTPサーバ)で行う設定はどれか。
 ア ゾーン転送のアクセス元を制御する。
 イ 第三者中継を禁止する。
 ウ ディレクトリに存在するファイル名の表示を禁止する。
 エ 特定のディレクトリ以外でのCGIプログラムの実行を禁止する。

【解答】

[su07-25]

テンペスト(TEMPEST)攻撃を説明したものはどれか。
 ア 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
 イ 処理時間の差異を計測し解析する。
 ウ 処理中に機器から放射される電磁波を観測し解析する。
 エ チップ内の信号線などに直接探針を当て,処理中のデータを観測し解析する。

【解答】

[su07-26][sd07-26]

認証局(CA)に登録されている通信相手の公開鍵を使用して行えることはどれか。
 ア CAから証明書の発行を受ける。
 イ 受信した暗号文を復号する。
 ウ ディジタル署名を検証する。
 エ メッセージにディジタル署名をする。

【解答】

[su07-27]

IPスプーフィング(spoofing)攻撃による,自ネットワークのホストへの侵入を防止するのに有効な対策はどれか。

  • ア 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を阻止する。
  • イ 外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
  • ウ 外部から入るパケットが,インターネットとの直接の通信をすべきでない内部ホストのIPアドレスにあてられていれば,そのパケットを阻止する。
  • エ 外部から入るパケットの発信元IPアドレスが自ネットワークのものであれば,そのパケットを阻止する。

【解答】

[su07-28]

フィールド1に入力された値が変数$jouken1に,フィールド2に入力された値が変数$jouken2に代入され,次のSQL文によって表TABLE_Aを検索して結果を表示するWebアプリケーションがある。

 SELECT * FROM TABLE_A
   WHERE jouken1='$jouken1' AND jouken2='jouken2'

悪意のある利用者が,SQLインジェクションによってTABLE_Aの全レコードの削除を試みるとき,それぞれのフィールドに入力する文字列はどれか。

 フィールド1フィールド2
 ア*'DELETE FROM TABLE_A WHERE 'A'='A
 イ*DELETE FROM TABLE_A WHERE 'A'='A'
 ウ(何も入力しない)';DELETE FROM TABLE_A WHERE 'A'='A
 エ(何も入力しない)DELETE FROM TABLE_A WHERE 'A'='A'

【解答】

[su07-29]

DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定める。“通過禁止”に設定するものはどれか。
 ア ICMP イ TCP及びUDPのポート番号53 ウ TCPのポート番号21 エ UDPのポート番号123

【解答】

[su07-30][sd07-27]

迷惑メールのメールヘッダから送信元又は中継元のISP又は組織を特定する手掛かりのうち,最も信頼できるものはどれか。
Return-Path:<ユーザ名@ホスト・ドメイン名(1)>
Received:from ホスト・ドメイン名(2) (ホスト・ドメイン名(3) [IPアドレス])
 by 受信メールサーバ名 with SMTP id …
From:<ユーザ名@ホスト・ドメイン名(4)>

  • ア SMTPのMAIL FROMコマンドで通知されたホスト・ドメイン名(1)
  • イ SMTPのHELOコマンドで通知されたホスト・ドメイン名(2)
  • ウ 送信元又は中継元のIPアドレスから逆引きされたホスト・ドメイン名(3)及びIPアドレス
  • エ 電子メールのFromヘッダに設定されたホスト・ドメイン名(4)

【解答】

[su07-31]

ESPプロトコル(IPsec)のトンネルモードのパケットで暗号化される範囲を示したものはどれか。 ヘッダ
A:トンネル用
IPヘッダ
B:ESP C:元のIP
ヘッダ
D:TCP
ヘッダ
E:データ
 
F:ESP
トレーラ
G:ESP
認証データ

 ア B:ESPヘッダ、C:元のヘッダ、D:TCPヘッダ、E:データ
 イ C:元のIPヘッダ、D:TCPヘッダ、E:データ、F:ESPトレーラ
 ウ C:元のIPヘッダ、D:TCPヘッダ、E:データ
 エ D:TCPヘッダ、E:データ、F:ESPトレーラ

【解答】

[su07-32][su04-29]

SSLに関する記述のうち,適切なものはどれか。

  • ア SSLで使用する個人認証用のディジタル証明書は,ICカードやUSBデバイスに格納できるので,格納場所を特定のパソコンに限定する必要はない。
  • イ SSLは特定ユーザ間の通信のために開発されたプロトコルであり,事前の利用者登録が不可欠である。
  • ウ ディジタル証明書にはIPアドレスが組み込まれているので,SSLを利用するWebサーバのIPアドレスを変更する場合は,ディジタル証明書を再度取得する必要がある。
  • エ 日本国内では,SSLで使用する共通鍵の長さは,128ビット未満に制限されている。

【解答】

[su07-33]

コンピュータフォレンジクス(Computer Forensics)を説明したものはどれか。

  • ア 画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。
  • イ コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり,システムを実際に攻撃して侵入を試みる。
  • ウ 証拠となりうるデータを保全し,その後の訴訟などに備える。
  • エ ネットワークの管理者や利用者などから,巧みな話術や盗み聞き,盗み見などの手段によって,パスワードなどのセキュリティ上重要な情報を入手する。

【解答】

[su07-34]

情報システムのリスク分析に関する記述のうち,適切なものはどれか。

  • ア リスクには,投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは,投機的リスクである。
  • イ リスクの予想損失額は,損害予防のために投入されるコスト,復旧に要するコスト,及びほかの手段で業務を継続するための代替コストの合計で表される。
  • ウ リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。
  • エ リスクを金額で測定するリスク評価額は,損害が現実のものになった場合の1回当たりの平均予想損失額で表される。

【解答】

[su07-35][su05-35]

リスク対策の一つであるリスクファイナンスに該当するものはどれか。
 ア システムが被害を受けた場合を想定して保険をかけておく。
 イ システム被害につながるリスクの発生を抑える対策に資金を投資する。
 ウ システムを復旧するのにかかる費用を金融機関から借り入れる。
 エ リスクが顕在化した場合のシステム被害を小さくする対策に資金を投資する。

【解答】

[su07-36][ad072-54]

機密データの漏えいを検知することを目的とした対策はどれか。
 ア 機密データにアクセスできる利用者を限定し,パスワード管理を徹底させる。
 イ 機密データに対する利用者のアクセスログを取り,定期的にチェックする。
 ウ 機密データの取扱マニュアルを作成し,利用者に対して教育を行う。
 エ 機密データのバックアップを取得し,その媒体を安全性の高い場所に保管する。

【解答】

[su07-37][ad061-56]

JIS Q9001(ISO 9001)で内部監査について規定していることはどれか。

  • ア 内部監査では,品質マネジメントシステムが定められたとおり正しく機能しているかどうかを,予告することなく不定期に確認する。
  • イ 内部監査では,品質マネジメントシステムの効果的な実施と維持,個別製品の実現計画や規格要求事項への適合を確認する。
  • ウ 内部監査は,社内のシステム監査部門又はシステム監査技術者が行う。
  • エ 内部監査を実施する前提条件として,ISO 9001に基づく品質マネジメントシステムの審査登録が必要である。

【解答】

[su07-38][fe072-69][ad072-56][ad061-57]

ISMSプロセスのPDCAモデルにおいて,PLANで実施するものはどれか。
 ア 運用状況の管理
 イ 改善策の実施
 ウ 実施状況に対するレビュー
 エ 情報資産のリスクアセスメント

【解答】

[su07-39][ad072-58]

コンピュータで使われている文字コードの説明のうち,適切なものはどれか。

  • ア ASCIIコードはアルファベット,数字,特殊文字及び制御文字からなり,漢字に関する規定はない。
  • イ EUCは文字コードの世界標準を作成しようとして考案された16ビット以上のコード体系であり,漢字に関する規定はない。
  • ウ Unicodeは文字の1バイト目で漢字かどうかが分かるようにする目的で制定され漢字とASCIIコードを混在可能にしたコード体系である。
  • エ シフトJISコードはUNIXにおける多言語対応の一環として制定され,ISOとして標準化されている。

【解答】

[su07-40]

「連続する同一の文字コード(1バイトコードとする)の長さから1を減じたものを1バイトのバイナリで表し,その後に当該文字コードを配置する」というデータ圧縮方式がある。例えば,圧縮前に16進表示で,
 41 41 41 41 41 42 43 43 43 43 43 43
であった12バイトの文字コードの列は,圧縮後に,
 04 41 00 42 05 43
という6バイトで表され,この場合の圧縮率は50%(6バイト÷12バイト×100)となるものとする。このとき,当該方式に関する記述のうち,適切なものはどれか。

  • ア 10個の文字からなる文字列を圧縮したとき,最良の場合の圧縮率は最悪の場合の圧縮率の5分の1である。
  • イ 圧縮後の長さが圧縮前の長さを上回ることはない。
  • ウ 一度に256バイト(256の同じ文字)を2バイトに圧縮できるときが最大の圧縮率なので,圧縮率が0.7%以下の値になることはない。
  • エ 文字列に2回圧縮を行うと1回圧縮を行う場合の2分の1の圧縮率となる。

【解答】

[su07-41][ad072-61]

企業経営で用いられるベンチマーキングを説明したものはどれか。

  • ア 企業全体の経営資源の配分を有効かつ総合的に計画して管理し,経営の効率向上を図ることである。
  • イ 業務のプロセスを再設計し,情報技術を十分に活用して,企業の体質や構造を抜本的に変革することである。
  • ウ 最強の競合相手又は先進企業と比較して,製品,サービス及びオペレーションなどを定性的・定量的に把握することである。
  • エ 利益をもたらすことのできる,他社より優越した自社独自のスキルや技術に経営資源を集中することである。

【解答】

[su07-42]

市場で競合する二つの銘柄A,B間の推移確率行列は,表のとおりである。例えば,Aを購買した人が次回にBを購買する確率は,20%である。AとBの市場シェアが,それぞれ50%であるとき,全員が2回購買した後の市場シェアはどうなるか。

 ア Aのシェアは10%上がり,Bのシェアは10%下がる。
 イ Aのシェアは10%下がり,Bのシェアは10%上がる。
 ウ Aのシェアは14%上がり,Bのシェアは14%下がる。
 エ Aのシェアは14%下がり,Bのシェアは14%上がる。

【解答】

[su07-43][su05-43][sd02-32]

リーダシップのスタイルは,その組織の状況に合わせる必要がある。組織とリーダシップの関係に次のことが推定できるとする。プロ野球優勝チームの監督のリーダシップスタイルとして,図のdと考えられるものはどれか。
[組織とリーダシップの関係]
 組織は発足当時,構成員や仕組みの成熟度が低いので,リーダが仕事本位のリーダシップで引っ張っていく。成熟度が上がるに連れ,リーダと構成員の人間関係が培われて,仕事本位から人間関係本位のリーダシップに移行していく。さらに成熟度が進むと,構成員は自主的に行動でき,リーダシップは仕事本位,人間関係本意のいずれもが弱まっていく。

 ア うるさく言うのも半分くらいで勝てるようになってきた。
 イ 勝つためには選手と十分に話し合って戦略を作ることだ。
 ウ 勝つためには選手の足を引っ張らないことだ。
 エ 選手をきちんと管理することが勝つための条件だ。

【解答】

[su07-44][sd07-39]

ITガバナンスを説明したものはどれか。

  • ア ITサービスの管理・運用規則に関するベストプラクティスを,包括的はまとめたもの
  • イ 企業が競争優位性を構築するために,IT戦略の策定・実行をガイドし,あるべき方向へ導く組織能力
  • ウ 企業が情報システムやITサービスなどを調達する際,発注先となるITベンダに具体的なシステム提案を要求したもの
  • エ  サービスを提供するプロバイダが,品質を保証するため.提供するサービスの水準を明確に定義したもの

【解答】

[su07-45]

ディジタルデバイドを説明したものはどれか。

  • ア PCなどの情報通信機器の利用方法が分からなかったり,情報通信機器を所有していなかったりして,情報の入手が困難な人々のことである。
  • イ 高齢者や障害者の情報通信の利用面での困難が,社会的・経済的格差につながらないように,だれもが情報通信を利活用できるように整備された環境のことである。
  • ウ 情報通信機器やソフトウェア,情報サービスなどを,高齢者・障害者を含むすべての人が利用可能であるか,利用しやすくなっているかの度合いのことである。
  • エ 情報リテラシの有無やITの利用環境の相違などによって生じる,社会的又は経済的格差のことである。

【解答】

[su07-46][sd07-52]

プログラム開発における職務上の著作について,著作権法で規定されているものはどれか。
 ア 就業規則などに特段の取決めがない限り,権利は法人に帰属する。
 イ 担当した従業員に権利は帰属するが,法人は無償でそのプログラムを使用することができる。
 ウ 担当した従業員に権利は帰属するが,法人へ譲渡することができる。
 エ 法人が権利を取得する場合は,担当した従業員に対し相応の対価を支払う必要がある。

【解答】

[su07-47][ad072-78][su02-44]

不正競争防止法で保護されるものはどれか。
 ア 特許権を取得した発明
 イ 頒布されている独自のシステム開発手順書
 ウ 秘密として管理している事業活動用の非公開の顧客名簿
 エ 秘密としての管理は行っていない,自社システムを開発するための重要な設計書

【解答】

[su07-48][ad072-79][su03-44]

労働者派遣法に基づいた労働者の派遣において,労働者派遣契約が存在するのはどの当事者の間か。
 ア 派遣先事業主と派遣労働者
 イ 派遣先責任者と派遣労働者
 ウ 派遣元事業主と派遣先事業主
 エ 派遣元事業主と派遣労働者

【解答】

[su07-49][sd07-55]

個人情報保護法が対象としている個人情報はどれか。
 ア 企業が管理している顧客に関する情報に限られる。
 イ 個人が秘密にしているプライバシに関する情報に限られる。
 ウ 生存している個人に関する情報に限られる。
 エ 日本国籍の個人に関する情報に限られる。

【解答】

[su07-50][su03-45][sd03-49]

刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。

  • ア インターネット上にいわゆるねずみ講方式による取引形態のWebページを開設する。
  • イ インターネット上に,実際よりも良品と誤認させる商品カタログを掲載し,粗悪な商品を販売する。
  • ウ インターネットを経由して銀行のシステムに虚偽の情報を与え,不正な振込や送金をさせる。
  • エ 企業のWebページを不法な手段で変造し,その企業の信用を傷つける情報を流す。

【解答】

[su07-51]

情報システムの安全性のコントロールに関係する監査証跡はどれか。
 ア CPUの性能評価レポート
 イ アクセスログ
 ウ ソフトウェア導入の費用対効果分析表
 エ 単体テストの結果報告書

【解答】

[su07-52][su04-49]

「ISMS認証基準」の詳細管理策を基に設定した,ノート型PCに対する物理的安全対策の妥当性を確かめるための監査手続はどれか。

  • ア オフィス内を視察し,不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する。
  • イ 教育計画及び教育記録を閲覧し,ノート型PCの安全管理についての社員教育が適切に行われていることを確認する。
  • ウ 実際にノート型PCを操作して,パスワードを入力しないと起動できない仕組みになっていることを確認する。
  • エ ノート型PCの管理ルールを調べ,社外に持ち出す場合には申請書を提示し,セキュリティ管理者の許可を得るルールになっていることを確認する。

【解答】

[su07-53]

提案依頼書(RFP)によるベンダ選定手続に関するシステム監査の結果,指摘事項となるものはどれか。
 ア RFPに,システム化要求事項のほか,あるべき業務モデルも添付していた。
 イ RFP発行後,問合せをしてきたITベンダに対して追加資料を提供していた。
 ウ 提案を希望するITベンダを集めて,RFP説明会を実施していた。
 エ 予算額の範囲を,RFPに明示していた。

【解答】

[su07-54]

「情報セキュリティ監査基準」に基づく監査の対象に関する記述のうち,適切なものはどれか。

  • ア 監査対象は情報資産であるが,コンピュータを導入していない部署では,情報セキュリティ監査は不要である。
  • イ 監査対象は情報資産なので,コンピュータを導入していない部署でも,情報セキュリティ監査は必要である。
  • ウ 監査対象は情報システムであるが,コンピュータを導入していない部署でも,情報セキュリティ監査は必要である。
  • エ 監査対象は情報システムなので,コンピュータを導入していない部署では,情報セキュリティ監査は不要である。

【解答】

[su07-55]

JIS Q9001(ISO 9001)の内部監査とシステム監査の関係はどれか。

  • ア ISO 9001の内部監査は,ソフトウェア製品の供給者が利用者に対して製品の品質を保証するために行うもので,システム監査よりも対象範囲が広い。
  • イ ソフトウェア製品の利用者に対して監査報告を行うという点で,システム監査とISO 9001の内部監査は共通している。
  • ウ ソフトウェアの開発プロジェクトを対象とするシステム監査は,ISO 9001の内部監査と同一である。
  • エ ソフトウェアの品質確保の観点から行うシステム監査は,ISO 9001の内部監査に相当する場合がある。

【解答】


本シリーズの目次へ