情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

HOME»情報処理安全確保支援士平成30年春期»午前Ⅱ 問25

情報処理安全確保支援士平成30年春期午前Ⅱ 問25

午前Ⅱ 問25

データベースの直接修正に関して，監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで，直接修正とは，アプリケーションの機能を経由せずに，特権IDを使用してデータを追加，変更又は削除することをいう。

更新ログを加工して，アプリケーションの機能を経由した正常な処理によるログとして残していた。
事前のデータ変更申請の承認，及び事後のデータ変更結果の承認を行っていた。
直接修正の作業時以外は，使用する直接修正用の特権IDを無効にしていた。
利用部門からのデータ変更依頼票に基づいて，システム部門が直接修正を実施していた。

分類

マネジメント系 » システム監査 » システム監査

正解

ア

解説

ログを作為的に加工する行為は「ねつ造」に当たるため、完全性を損う問題行動として指摘し改善を促すべきです。
変更内容および変更作業の正しさを担保するための対策なので適切です。
特権IDをみだりに使用させないための対策なので適切です。
一般的に情報システム部門にはメンテナンス作業等を行うための特権IDが付与されています。記述の直接修正は、正当な申請に基づいて実施されたものなので問題ありません。

© 2014-2021　情報処理安全確保支援士ドットコム　All Rights Reserved.