本記事ではシステム監査技術者の午後II(論文)対策として、
令和6年問2で出題された過去問をもとに論文例をご紹介します(有料)。
問題(令和6年問2)
過去問は試験センターから引用しています。
設問文は以下の通り。
論文骨子
論文骨子の例をご紹介します。
■設問ア
1.情報システムと運用プロセスにおける外部サービス
1-1.情報システムの概要
N社 眼鏡の製造・販売業
対象の情報システムは物流配送システム
オンラインサイトから配送するため、顧客個人情報を扱う
1-2.外部サービスの位置づけと内容
業務用ソフトウェアとしてB社パッケージを採用
ソフトウェアの運用・保守・管理などの業務をB社に委託
■設問イ
2.外部サービスを活用した運用プロセスの監査計画
2-1.大きいと判断したITリスク
予備監査において、両社が定める対応策について調査
B社・受託者:従業員教育、アクセス制御
N社・委託元:B社に定期的な監査や報告を義務づけ
大きいと判断したITリスク:個人情報の取り扱い
2-2.個人情報漏洩への対応策
B社・受託者
①個人情報保護法や取り扱い上の社内ルールについて
定期的な教育を実施していること
②最小権限の原則に基づき、業務上必要な従業員にのみ
アクセスを許可していること
③操作履歴を記録・保存し監査に備えていること
N社・委託元
①インシデント発生時における両社間での通報義務や
分担・責任・体制について明確化していること
②個人情報保護に関する契約条項を契約に盛りこむ
③定期報告会を開催し、B社より報告を受け、
対応策の見直しを講じる機会を得る
■設問ウ
3.個人情報漏洩リスクへの対応策についての監査手続
3-1.対応策に漏れがないかについて
被監査部門に対してチェックシート形式の
リスクアセスメントをもとに対応状況を確認する
3-2.委託元としての適切なモニタリングについて
N社とB社の定期報告会の議事録などを監査証跡として
適切にモニタリングを継続しているかを確認する例えば、ある月のインシデントの中で外部からの不正
アクセスが疑われる事象がB社より報告されていた。
その後、N社は自身の対応策を見直し、インシデント
種別ごとに連絡窓口を整備するほか、B社に対しても
改善提案を求めていたことが分かった
論文全文について
■設問ア
1.情報システムと運用プロセスにおける外部サービス
1-1.情報システムの概要
N社は眼鏡の製造・販売を行う中堅の眼鏡メーカーで
ある。論述の対象とする情報システムは物流配送システ
ムである。ユーザからの注文をもとに在庫情報から引き
当てを行い、受注情報をもとに在庫から全国へ出荷・配
送される。
物流配送システムはN社の基幹システムの一部を担っ
ており、N社の契約するデータセンター上に構築されて
いる。物流配送システムへは受注管理システムと在庫管
理システムからデータ連携され、出荷・配送後は出荷実
績情報が会計管理システムに連携し売上情報・在庫情報
を更新する。
なおN社では、店頭での注文受付の他、オンラインサ
イトからの注文も受け付ける。ユーザは氏名・性別・年
齢の他、配送先住所も登録フォームより記入し、顧客情
報として管理される。
続きの、論文全文を参考にされたい方は有料とはなりますが
以下記事をご参照ください。
本記事ではシステム監査技術者の午後II(論文)対策として、
令和6年問2で出題された論文の骨子を紹介しました。
委託元・委託先の立場の違いを認識した対応策、
監査計画の立案を求められる問題でした。
また、他の区分・過去問の【論文の書き方】の記事については
以下リンクを参照ください。
論文の書き方 カテゴリーの記事一覧 - スタディルーム by rolerole
今後も、【論文の書き方】記事を充実して参ります。
ではそれまで。
