※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「D.組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価」です。
情報セキュリティ監査とは、情報資産を保護するための管理体制やリスクマネジメントが適切に機能しているかを客観的に検証・評価する活動をいいます。
この記事では、ITパスポート試験(令和7年度)で出題された過去問の第3問「情報セキュリティ監査」について、試験対策の観点からわかりやすく解説します。
情報セキュリティ監査とは
情報セキュリティ監査=リスクマネジメントの有効性の検証・評価
情報セキュリティ監査は、組織の情報資産に対するリスク管理が適切に行われているかを、独立した立場から検証・評価する活動です。単なる点検ではなく、客観的な基準に基づき有効性を確認します。
他の選択肢との違い
- IT監査:ITシステム全般の統制やガバナンスを評価する活動
- 物理的対策ツール:盗難防止装置などの具体的なセキュリティ製品
- IT戦略策定:経営戦略に基づくIT方針の立案活動
情報セキュリティ監査は「リスクマネジメントが有効に機能しているか」を検証する点がポイントです。
問われているポイント
この問題では、監査と戦略策定、物理的対策などの違いを正確に区別できるかが問われています。
「検証」「評価」というキーワードが監査の特徴です。
気を付けてほしい点(勘違いしやすいポイント)
- 監査は“実施する側”ではなく“評価する側”の活動
- セキュリティ対策そのものと監査は別概念
補足
ITパスポート試験では、IT監査・システム監査・情報セキュリティ監査の違いが問われることがあります。用語の定義を整理しておきましょう。
ITパスポート試験での出題パターン
マネジメント系では、内部統制や監査に関する基本概念が頻出です。
「何を目的とする活動か」を押さえることが重要です。
この知識が使われている問題
まとめ
- 情報セキュリティ監査はリスク管理の有効性を検証・評価する活動
- 対策の実施そのものではなく、客観的な評価が目的