応用情報技術者試験の過去問&キーワードを動画2443本の動画で解説!スキマ時間に動画!※2017年9月11日現在

PR広告

平成28年度秋 応用情報技術者試験 午後問11 システム監査 設問4 合格率アップ!動画付き解説!

ID管理の監査に関する次の記述を読んで、設問1~6に答えよ。

 T社は、関東を中心に、住宅の販売、施工及びリフォームを手掛けている住宅販売会社である。T社の基幹システムである住宅販売システムは、重要な情報を管理していることから、T社ではアクセス管理を強化することにした。その一環として、T社の監査室は、住宅販売システムを利用するためのID(以下、利用者IDという)の管理状況について、システム監査を実施することにした。

〔住宅販売システムの予備調査〕

 住宅販売システムは自社で開発し、本社の営業管理部と20か所の支店で利用されている。監査室では、これらの利用者IDの管理状況について予備調査を行い、次の情報を入手した。

(1) 利用者IDの概要

 利用者IDは、住宅販売システムの権限マスタで管理されている。権限マスタには、利用者ID、利用者名、所属、役職、利用権限及び最終更新日が記録されている。利用権限には、メニュー別に利用の可否を設定できる。

① メニューのうち、管理者メニューでは、権限マスタの更新及びアクセスログの参照ができる。管理者メニューの利用権限が与えられているのは、各支店及び営業管理部のそれぞれ1名(以下、システム管理者という)である。

② システム管理者以外の利用者IDには、管理者メニュー以外の各メニューの入力、承認、参照などの利用権限が設定されており、住宅販売システムの顧客情報などもダウンロードできる。

 支店では、一部の従業員しか住宅販売システムを利用していないので、利用者IDの付与は当該従業員に限定されている。一方、営業管理部に所属している従業員の場合、全員に利用者IDが付与されている。

(2) 利用者IDの更新(登録・変更・削除)

 利用者IDの更新は、各支店及び営業管理部のシステム管理者が実施している。

① 支店の利用者IDの更新については、ID申請書に利用者本人が必要事項を記入し、支店長の承認を受けた後、当該支店のシステム管理者に渡している。システム管理者は、承認済みID申請書に基づいて、権限マスタデータを更新している。

② 営業管理部の利用者IDの更新については、ID申請書に利用者本人が必要事項を記入し、本人が所属する課の課長の承認を受けた後、営業管理部のシステム管理者に渡している。システム管理者は、ID管理台帳に利用者ID情報を記載した後に、権限マスタデータを更新している。ID管理台帳には、利用者ID、利用者名、所属、役職、利用権限及び更新日が記載されている。

③ 利用者IDは、"部門番号+連番"で構成されており、人事システムの情報を更新しても権限マスタの情報は自動更新されない。したがって、部門間の異動の場合には、異動元での削除申請と異動先での登録申請を行う必要がある。

(3) 利用者IDの定期的な確認(以下、利用者ID棚卸という)

 利用者ID棚卸は、権限マスタの登録内容が適切かどうかを定期的に確認するために、年に2回、各支店及び営業管理部で実施されている。

① 支店では、利用者ID数が少ないので、各支店のシステム管理者が住宅販売システムの権限マスタ一覧画面で、利用者ID、利用者名、所属及び役職を照会し、画面上で、直接確認作業を行っている。このとき、支店に在籍していない従業員の利用者IDが発見された場合は、支店長の承認を得て画面上で権限マスタデータを更新している。

② 営業管理部では、システム管理者がID管理台帳のコピーを利用者ID棚卸リストとして各課に配布する。各課の課長は、利用権限などの各項目にチェックマークを付けながら訂正事項があれば記載し、承認印を押してシステム管理者に返している。システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し、営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。

(4) 利用者IDの監視

 情報漏えい防止の観点から、情報をダウンロードできるメニューの利用を記録しており、各支店及び営業管理部のシステム管理者が利用結果を監視している。情報のダウンロード用のメニューは、利用しやすいように情報の種類別に提供されている。

① ダウンロードの理由を記録に残すために、当該メニューの利用者は必ずシステム管理者にダウンロードの対象範囲及び理由を電子メールで報告する。ダウンロード操作は、システム管理者が実施する場合もある。その場合にはシステム管理者自身宛ての電子メールで記録に残す。

② システム管理者は、住宅販売システムのアクセスログから情報のダウンロード用メニューの利用ログを選択して"月次ログリスト"として出力し、内容のレビューを行い、確認印を押している。不正アクセスが発見された場合は、支店長又は営業管理部長に報告している。

〔監査計画〕

 監査室は、予備調査で入手した情報に基づいて監査要点を検討し、これに対応する監査手続を策定して、表1に示す"監査手続一覧"にまとめた。

表1 監査手続一覧

平成28年度秋 応用情報技術者試験 午後問11 システム監査 合格率アップ!動画解説!

設問4

表1中の項番(2)の監査手続③において照合すべきbcに入れる適切な字句を、それぞれ10字以内で答えよ。

動画解説

解説

正解は

bは「権限マスタ」

cは「ID管理台帳」

です!

表1 監査手続一覧

平成28年度秋 応用情報技術者試験 午後問11 システム監査 合格率アップ!動画解説!

表1中の項番(2)の監査手続③は

営業管理部の利用者ID棚卸の手続きが不十分なので、監査人が自らbcを照合し、一致しているかどうかを確かめる。

ポイント:営業管理部の利用者ID棚卸の手続きはどのように行い何と何を照合するのでしょうか?

【住宅販売システムの予備調査】

(3) 利用者IDの定期的な確認(以下、利用者ID棚卸という)

② 営業管理部では、システム管理者がID管理台帳のコピーを利用者ID棚卸リストとして各課に配布する。各課の課長は、利用権限などの各項目にチェックマークを付けながら訂正事項があれば記載し、承認印を押してシステム管理者に返している。システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し、営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。

上記より、ID管理台帳と権限マスタを照合していることがわかります!

従って、正解は

bは「権限マスタ」

cは「ID管理台帳」

です!

平成28年度秋 応用情報技術者試験午後

問1 情報セキュリティ 設問1

問1 情報セキュリティ 設問2

問1 情報セキュリティ 設問3

問2 経営戦略 設問1

問2 経営戦略 設問2

問2 経営戦略 設問3

問2 経営戦略 設問4

問3 プログラミング 設問1

問3 プログラミング 設問2

問3 プログラミング 設問3

問4 システムアーキテクチャ 設問1

問4 システムアーキテクチャ 設問2

問4 システムアーキテクチャ 設問3

問4 システムアーキテクチャ 設問4

問5 ネットワーク 設問1

問5 ネットワーク 設問2

問5 ネットワーク 設問3

問6 データベース 設問1

問6 データベース 設問2

問6 データベース 設問3

問6 データベース 設問4

問8 情報システム開発 設問1

問8 情報システム開発 設問2

問8 情報システム開発 設問3

問8 情報システム開発 設問4

問9 プロジェクトマネジメント 設問1

問9 プロジェクトマネジメント 設問2

問9 プロジェクトマネジメント 設問3

問10 サービスマネジメント 設問1

問10 サービスマネジメント 設問2

問10 サービスマネジメント 設問3

問11 システム監査 設問1

問11 システム監査 設問2

問11 システム監査 設問3

問11 システム監査 設問4

問11 システム監査 設問5

問11 システム監査 設問6


PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト