情報処理安全確保支援士平成30年春期 午前U 問25

問25

データベースの直接修正に関して,監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに,特権IDを使用してデータを追加,変更又は削除することをいう。
  • 更新ログを加工して,アプリケーションの機能を経由した正常な処理によるログとして残していた。
  • 事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
  • 直接修正の作業時以外は,使用する直接修正用の特権IDを無効にしていた。
  • 利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。

分類

マネジメント系 » システム監査 » システム監査

正解

解説

  • ログを作為的に加工する行為は「ねつ造」に当たるため、完全性を損う問題行動として指摘し改善を促すべきです。
  • 変更内容および変更作業の正しさを担保するための対策なので適切です。
  • 特権IDをみだりに使用させないための対策なので適切です。
  • 一般的に情報システム部門にはメンテナンス作業等を行うための特権IDが付与されています。記述の直接修正は、正当な申請に基づいて実施されたものなので問題ありません。
© 2014-2023 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop