システム監査 (全69問中15問目)
No.15
A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について,"情報セキュリティ管理基準(平成28年)"に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
出典:平成31年春期 問60
- バックアップ取得手順書を作成し,取得担当者を定めていた。
- バックアップを取得した電子記録媒体からデータベースを復旧する試験を,事前に定めたスケジュールに従って実施していた。
- バックアップを取得した電子記録媒体を,機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。
- バックアップを取得した電子記録媒体を,業務システムが稼働しているサーバの近くで保管していた。
分類
マネジメント系 » システム監査 » システム監査
正解
エ
解説
- バックアップ情報の正確かつ完全な記録及び文書化したデータ復旧手順を作成する必要があります。
- バックアップに用いる媒体は、必要になった場合の緊急利用について信頼できることを確実にするために、定めに従って試験します。
- 外部業者の保管サービスを利用する場合には、機密保持契約を締結する必要があります。
- 正しい。業務システムの近くにバックアップを保管しておくと、火災や自然災害などでシステムが重大な被害を受けたとき、その近くにあるバックアップも同時に破損してしまう恐れがあります。こうなってしまっては、バックアップからの回復の道が途絶え、業務の存続が不可能になるほどの重大な影響を受けることになります。
もし、1つをサーバの近くで保管したいのであれば、同じバックアップをもう1つ用意し、それを遠隔地で保管する必要があります。
情報セキュリティ管理基準(平成28年)においても、「バックアップ情報は、主事業所の災害による被害から免れるために、十分離れた場所に保管しなければならない」と規定されています。