問1 27年度 春期分  ITパスポート試験

問題

問1 組織が経営戦略と情報システム戦略に基いて情報システムの企画・開発・運用・保守を行うとき、そのライフサイクルの中で効果的な情報システム投資及びリスク低減のためのコントロールを適切に行うための実践規範はどれか。

ア コンピュータ不正アクセス対策基準

イ システム監査基準

ウ システム管理基準

エ 情報システム安全対策基準

解き方と解説

「組織が経営戦略と情報システム戦略に基いて情報システムの企画・開発・運用・保守を行うとき」とありますが、平たく言えば、システムを構築して使っている状況ということです。

そ して「効果的な情報システム投資及びリスク低減」が重要なキーワードで、「投資」及び「リスク低減」という2つのことを実践しようとしています。「効果的 な情報システム投資」と長く書いてありますが、要は「投資」というお金の使い方に関することなので、「投資」の部分だけに着目すれば問題ありません。つま り「投資」というお金の使い方、「リスク低減」というリスクを抑えて安全にするという、この2つを両方ともカバーしている選択肢を選ぶ必要があります。

ま ずアを見てみます。「コンピュータ不正アクセス対策基準」と小難しく書いてありますが、「不正アクセス」ということからセキュリティに関することだという ことがわかります。このセキュリティは「リスク低減」に当てはまりますが、「投資」まではカバーしていません。よって不適です。

イは「シ ス テム監査基準」と書いてあります。ここでは「監査」とはどういうものなのか、最低限のことは知っておく必要があり、それを知っていれば判断がつきます。 「監査」とは既に出来上がったシステムに対して、独立した機関が評価するものです。企業だったら「監査」を行う部署として内部監査部が設置されていること があります。内部監査部はシステムを作っていない部外者の立場から、システムを作っている部署を評価するための部署です。また、外部監査といって監査法人 という外部機関に評価してもらう監査もあります。

このように「監査」といったらシステムを「作る」側ではなく、「評価」をする側、つまり検査、チェック、問題提起などをする側のことを指します。

ここで問題文のはじめを見なおしてみると「組織が経営戦略と情報システム戦略に基いて情報システムの企画・開発・運用・保守を行うとき」とあるので、この問題ではシステムを「作る」側のことについて話しているので、「評価」をする側の話ではありません。

つまり、選択肢にある「監査」という言葉の時点で、システムを作る側を指していないので、この選択肢は不適ということになります。

ウは「システム管理基準」とかいてあり、システムを管理するというとても漠然としたものですが、「投資」も「リスク低減」も管理の一部と言えそうですし、一応この選択肢は残しておきます。

また「監査」と「管理」を見間違えないようにしましょう。これを見間違えてしまうと正解できません。

エ には「情報システム安全対策基準」とありますが、「安全対策」に着目すると、システムを安全にするところに着目していることがわかります。安全と言うと、 「リスク低減」のことを表していそうです。ですが「投資」のことまでは表しているとはいえません。この選択肢は、「リスク低減」はカバーしているものの 「投資」はカバーしていない選択肢ということになります。よって不適です。

この選択肢4つをまとめると、問題がなかったウを消去法で採用することになります。積極的にウが選ぶ必要はなく、他の選択肢が明らかに間違っているので、消去法で正解を選べる問題です。

解答