あくまでも感想です。
問2も…「監査手続」について書く問題。但し,問1のように設問イが「リスク」で設問ウが「監査手続」ではなく,設問イと設問ウの両方が両方とも「監査手続」になっているパターン。このパターンは,普通にあるので面くらうことは無いと思う。
このパターンでも…設問アが予備調査後の内容なので,設問イにも設問ウにも,そこから設定する「リスク」が来る。この問題で言うと…「監査の着眼点」のところに,リスクと,それに対応する(現場で実施されている)コントロールを書いて,そこから監査要点につなげていけばいいだろう。
設問イは「管理態勢におけるPDCAサイクルの実施の適切性」で,設問ウが「インシデント発生時を想定した管理態勢の適切性」になっている。
その違いを最初にデザインできれば問題ないだろう。
設問ア
ここに書くのは次のようなもの。ここも,事前調査と予備調査で確認できた内容だと考えておけばいいだろう。但し,問1にも書いた理由で…「予備調査の結果」とかは書かないこと。さらっと問われていることだけについて書く。
・ビジネス又はサービスの概要
・サイバーセキュリティ管理態勢が必要となる理由
管理態勢が問われることも多いので…もはや「管理態勢」の説明はないけれど…令和4年の午後Ⅱ問2で説明されているので大丈夫だと思う。「基本方針,体制,訓練,見直しなど」の体制だけではなく,それを含む諸々の総合活動ね。イメージとしては。
但し,ここではあくまでも設問イや設問ウに書く「サイバーセキュリティ管理態勢」の内容ではなく,そうした管理態勢が必要になる理由。
なので具体的には次のようなもの。
・管理している情報とその重要性
・上記の情報が漏洩した時,搾取された時の影響や損害
設問イ
まずは「管理態勢におけるPDCAサイクル」について。
書くべき内容は,まずは「監査の着眼点」なので…設問アに書いた「管理態勢が必要になる理由」について…
・一般論のリスク
・現場で実施しているセキュリティ管理態勢
(どうやって守っているか?=コントロール)
・上記を踏まえたリスク
※リスクはどちらかにあれば,どっちでもいい
・監査の着眼点(監査要点と考えてもいい)
その上で,適切な証拠収集を監査手続とする。監査手続の注意点は次の通り。
・監査証拠,監査技法を含めること
・監査人の意見を裏付ける証拠収集(検事が犯人だと決めつける証拠や弁護士が無実を主張する証拠の収集と同じ感覚)だという点を意識すること。決して「俺の能力を信じろ」とはしないように。
・予備調査で確認できるレベルにしないこと
なお「管理態勢のPDCAサイクル」とは具体的にどんなものなのかは下記を参照。
このサイトの「CSIRT構想フェーズ」,「同構築フェーズ」,「同運用フェーズ」を参考に。特に運用フェーズの「CSIRTガイド」のインシデントマネジメントのところを参照。
設問ウ
次に「インシデント発生時を想定した管理態勢の適切性」について。
書くべき構成は設問イと同じ。注意点も同じ。
「インシデント発生時を想定した管理態勢」のイメージがわかない人は,上記サイトの「インシデントハンドリング」を参考に。
まとめ
リスクと監査手続の表現パターンは必須。
問われているパターンは従来通り(予想通り)なので,後はサイバーセキュリティのマネジメント(PDCA)及びインシデントハンドリングに関するイメージが湧くかどうか。
情報処理安全確保支援士試験の合格者や,普段セキュリティに取り組んでいる人にとっては書きやすかったと思う。立場を変えれば書けるはず。
イメージできる場合は,後は設問イと設問ウが一般論になっていなくて,アーイ,アーウがつながっていれば合格確実。