説明/参照:
IS 監査の主な懸念事項は、ユーザーがデータベースを直接変更できることです。

セクション: 情報資産の保護
Explanation:
さまざまな情報システムの使用に関連するリスクを評価する際に考慮すべき重要な要素の 1 つは、資産に影響を与える脅威と脆弱性です。情報資産の使用に関連するリスクは、導入されているコントロールとは切り離して評価する必要があります。同様に、管理の有効性は、リスク評価段階ではなく、リスク軽減段階で考慮されるべきです。資産に関連するリスクを継続的に監視するメカニズムは、リスク評価段階に続くリスク監視機能中に導入される必要があります。

説明
答え A は正解です。データ所有者がデータに誤った分類レベルを割り当てた場合に情報システム監査人が最も懸念するのは、データを適切に保護するための制御が適用されない可能性があるためです。データ分類は、情報の機密性とビジネスへの影響に基づいてデータ資産を分類するプロセスです。データ分類は、組織がデータの価値とリスクに応じてデータを識別、保護、管理するのに役立ちます。データ所有者は、データのアクセスと使用を定義、分類、制御する権限と責任を持つ個人または団体です。
データ分類には通常、公開、内部、機密、制限付きなどのデータ資産にラベルやタグを割り当てることが含まれます。これらのラベルは、データに必要な保護と処理のレベルを示します。
データ分類に基づいて、組織は、暗号化、アクセス制御リスト、監査ログ、バックアップ ポリシーなど、データを保護するための適切な制御を実装できます。これらの制御は、データの不正アクセス、開示、変更、損失の防止に役立ちます。関連する法律および規制の遵守を確保するため。
データ所有者がデータに誤った分類レベルを割り当てると、データの保護が不十分または過剰になる可能性があります。保護が不十分であるとは、データが本来よりも低いレベルで分類されていることを意味し、侵害や侵害の高いリスクにさらされます。たとえば、データ所有者が個人健康情報 (PHI) を機密ではなく公開として分類した場合、適切な許可や同意なしに誰でもデータにアクセスしたり共有したりできる可能性があります。これは、データ主体のプライバシー権や、HIPAA (医療保険の相互運用性と責任に関する法律) などの規制の遵守要件に違反する可能性があります。
過保護とは、データが本来よりも高いレベルで分類され、可用性や使いやすさが制限されることを意味します。たとえば、データ所有者がマーケティング資料を公開ではなく制限付きとして分類すると、潜在的な顧客やパートナーがデータにアクセスしたり閲覧したりできなくなる可能性があります。これにより、データのビジネス価値と機会が減少する可能性があります。
したがって、IS 監査人は、データ管理のセキュリティと効率に影響を与えるため、データ所有者によるデータ分類の正確性と一貫性を考慮する必要があります。IS 監査人は、データ分類のポリシーと手順をレビューし、データ所有者がデータを分類するための十分な知識とスキルを持っていることを確認し、データ分類ラベルがデータの実際の機密性と影響と一致していることをテストする必要があります。
参考文献:
データ分類: その概要と実装方法
データ分類とは何ですか? - 定義、レベル、例 ...
データ分類: データ セキュリティ リーダーのためのガイド