説明/参照:
Explanation:
書式文字列攻撃は、最近発見された新しい種類の脆弱性です。この攻撃は、プログラムをクラッシュさせたり、有害なコードを実行したりするために使用できます。この問題は、printf() などの書式設定を実行する特定の C 関数で、フィルタリングされていないユーザー入力を書式文字列パラメータとして使用することに起因します。悪意のあるユーザーは、%s や %x などの書式トークンを使用して、スタックまたはメモリ内の他の場所からデータを印刷する可能性があります。また、%n 書式トークンを使用して任意の場所に任意のデータを書き込むこともできます。

組織が質の高いセキュリティ ポリシーを持っていると結論付けた後に次に判断すべき最も重要なことは、そのポリシーがすべての従業員によく理解されているかどうかです。セキュリティ ポリシーとは、組織内の情報セキュリティの目的、範囲、役割、責任、ルールを定義するドキュメントです。質の高いセキュリティ ポリシーとは、明確で簡潔、一貫性があり、包括的で、ビジネス目標や要件に沿ったポリシーです。ただし、質の高いセキュリティ ポリシーは、それに従うことが期待されるすべての従業員によく理解されていなければ役に立ちません。したがって、情報システム監査人は、従業員のセキュリティ ポリシーの認識と理解のレベルを評価し、対処する必要のあるギャップや問題を特定する必要があります。その他のオプションは、セキュリティ ポリシーの実装と有効性に直接影響しないため、すべての従業員がセキュリティ ポリシーをよく理解していることを確認することほど重要ではありません。
参考文献: CISA レビューマニュアル、第 27 版、317 ページ

多国籍銀行の廃棄プロセスの監査中、情報システム監査人は、バックアップ メディアが保存期間の終了前に廃棄されることを最も懸念する必要があります。これは、バックアップ メディアには、ビジネス継続性、法令遵守、または法医学的目的に必要となる可能性のある機密性の高い重要なデータが含まれているためです。
バックアップ メディアを早期に廃棄すると、データの損失、使用不可、または破損が発生する可能性があり、銀行の評判、業務、セキュリティに重大な影響を及ぼす可能性があります。廃棄前にバックアップ メディアが検査されていないこと、物理的シュレッディングの代わりに消磁が使用されていること、認定ベンダーによってハードウェアが破壊されていないことも、銀行の廃棄プロセスに何らかのリスクをもたらす可能性がありますが、これらは、保管期間の終了前にバックアップ メディアが廃棄されることほど重大ではありません。参考文献: ISACA CISA レビュー マニュアル第 27 版、302 ページ。

セクション: 情報資産の保護