セクション: 情報資産の保護
説明: 組織のコンピュータセキュリティインシデント対応チーム（CSIRT）は、
最新の脅威、セキュリティガイドライン、セキュリティアップデートをユーザーに提供し、
誤りや漏れによるセキュリティリスク。しかし、これにより、ユーザーがこれを使用するリスクが生じます。
情報システム監査人は、CSIRTが積極的に情報を入手し、攻撃を開始できるようにする必要があります。
ユーザーに関与してセキュリティの失敗から生じるリスクを軽減し、
同じ脅威から生じる追加のセキュリティインシデント。セキュリティアラートを転送しても、
組織では、個別のソリューションを実装することは難しく、ユーザーは脅威を理解できない
深刻な懸念事項ではないでしょう。

説明/参照:
Explanation:
組織は、レベル 5 の最適化でソフトウェア CMM の最高レベルに到達していることになります。
定量的な品質目標はレベル4以下で達成可能であり、文書化されたプロセスはレベルで実行される。
レベル3以下では、特定のプロジェクトに合わせたプロセスを実現できます。

IS 監査の熟練度基準では、IS 監査人は監査業務を遂行するために必要な知識、スキル、経験を備えていなければならないと規定されています。これは、IS 監査人が監査対象分野の技術的側面とビジネス的側面の両方に精通している必要があることを意味します。したがって、チーム メンバーの割り当ては、各監査人が自分の資格と専門知識に一致するタスクを遂行できるように、個人の能力に基づいて行う必要があります。これにより、監査の目的が達成され、監査の品質が維持されることも保証されます。
オプション B は不正解です。技術的な共同ソーシングは、熟練度に関する情報システム監査基準を満たすための要件ではないためです。共同ソーシングは、内部監査部門に監査業務を実行するために必要なリソースやスキルがない場合に使用できるオプションです。ただし、共同ソーシングでは、新しいスタッフが監査に必要な熟練度を習得することが保証されません。さらに、共同ソーシングによって、機密性、独立性、コミュニケーション、調整の問題など、追加のリスクや課題が生じる可能性があります。
オプション C は不正解です。世界的に認められた監査認定資格を持っているからといって、必ずしも熟練度の基準を満たしているわけではありません。認定資格は、特定の分野における監査人の知識と能力を示すものですが、情報システム監査のすべての側面を網羅しているわけではありません。監査人は、熟練度を維持し向上させるために、関連する経験と継続的な学習も必要です。さらに、1 人の認定メンバーがいるからといって、他のメンバーも熟練しているとは限りません。
オプション D は不正解です。新しい監査人の作業を監督者がレビューするだけでは、熟練度に関する情報システム監査基準を満たすのに十分ではありません。監督者によるレビューは、監査作業が基準とポリシーに従って実行されるようにするための品質保証手段です。ただし、監督者によるレビューは、作業を実行する監査人の熟練度に代わるものではありません。監査人は、監査タスクを効果的かつ効率的に実行するために必要な知識、スキル、および経験を備えている必要があります。
参考文献:
CISAオンラインレビューコース1、モジュール1: 情報システムの監査プロセス、レッスン2:
必須ガイダンス、スライド 8 ～ 9。
CISAレビューマニュアル（デジタル版）2、第1章：情報システムの監査プロセス、セクション
1.3: 必須ガイダンス、p. 24-25。
CISA レビューマニュアル (印刷版)、第 1 章: 情報システムの監査プロセス、セクション 1.3:
必須ガイダンス、24-25ページ。
CISA の質問、回答、説明データベース 3、質問 ID: QAE_CISA_711。