監査計画プロセスの早い段階でアプリケーション所有者を関与させることは、ビジネス クリティカルなアプリケーションの監査の品質向上に貢献する最善の方法です。アプリケーション所有者はアプリケーションとそのビジネス コンテキストを深く理解しているため、監査に貴重な洞察を提供できます。また、早い段階で関与することで、監査がビジネス目標とリスクと一致し、潜在的な問題が特定され、迅速に対処されることが保証されます12。
参考文献:
* ビジネスクリティカルなアプリケーション: 詳細な分析
* 監査品質の枠組み - IFAC

ピギーバックとは、権限のない人物が、物理的または仮想的に権限のある人物の後を追って制限区域に入ることを指します。このポリシーは、見知らぬ人のためにドアを開けておくという礼儀正しい行動の問題に対処します。すべての従業員が、管理されているすべてのドアでバッジを読み取らなければならない場合、権限のない人物は機密エリアに入ることができません。ピギーバックを使用してエリアへのアクセス権を獲得した権限のない人物が、ユーザーの肩越しに機密情報を入手する可能性がありますが、このポリシーは特に物理的なアクセス制御に言及しています。このポリシーを実装しても、ショルダー サーフィングは防止されません。組織のゴミを漁って貴重な情報を探すという、ゴミ箱漁りは、会社の物理的な境界外で行われる可能性があります。したがって、このポリシーではこの攻撃方法には対処しません。なりすましとは、ソーシャル エンジニアが従業員として行動し、目的の情報を取得しようとすることを指します。ソーシャル エンジニアリング攻撃の一部の形式は、なりすまし攻撃とピギーバックを組み合わせる可能性がありますが、この情報セキュリティ ポリシーでは、なりすまし攻撃には対処していません。

説明
各組織のビジネス プロセスを考慮したリスク ベースの計画を作成することは、IS 監査が年間計画の一環として IT 環境内の主要なリスク領域を確実にカバーできるようにするために最も役立ちます。リスク ベースの計画とは、各領域またはプロセスに関連するリスクのレベルに基づいて監査活動に優先順位を付ける計画です。リスク ベースの計画は、監査リソースをより効率的かつ効果的に割り当て、ステークホルダーにさらなる保証と価値を提供するのに役立ちます1。
各エンティティのビジネス プロセスを考慮することで、IS 監査では、各エンティティの IT 環境に影響を与える特定のリスクと制御を特定して評価し、それに応じて監査の目的、範囲、手順を調整できます。これにより、各エンティティの固有のニーズと期待に対処し、IS 監査が各エンティティの運用、パフォーマンス、コンプライアンスに関連し重要な主要なリスク領域をカバーすることを保証できます2。
その他のオプションは、各エンティティのビジネス プロセスを考慮したリスク ベースの計画を策定して、年間計画の一環として IT 環境内の主要なリスク領域を IS 監査が引き続きカバーするようにするほど効果的ではありません。オプション A は、各ビジネス エンティティのリスク ベースの IS 監査の頻度を増やすものですが、監査コストと作業負荷が増加し、監査作業の重複が生じる可能性があるため、実行可能でも効率的なソリューションでもありません。オプション C は、新しく導入された IT ポリシーと手順の監査を実施するものですが、分割によって変更または影響を受けた可能性のある IT 環境のすべての側面または次元をカバーできない可能性があるため、限定的で狭いアプローチです。オプション D は、分割後に導入された IT の変更に焦点を当てるように IS 監査計画を改訂することですが、これは事後的で短期的なアプローチであり、IT 環境の現在または将来の状態や各エンティティのビジネス目標を反映していない可能性があります。
参考文献:
ISACA、CISA レビューマニュアル、第 27 版、2019 年
ISACA、CISA レビュー問題、回答、解説データベース - 12 か月サブスクリプション リスクベースの監査計画: 内部監査ガイド1 リスクベースの監査アプローチ: 定義と例

セクション: 情報資産の保護
説明
Explanation:
できるだけ早い段階でデータの整合性をサポートするために、コントロール合計はデータ準備のできるだけ早い段階で実装する必要があります。