平成22年度 秋期 システム監査技術者試験 午前II 問3

【解説】

ア: オフィス内を視察し，不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する。
正しい。JIS Q 27001では，情報資産の物理的な保護が求められます。ノートPCを適切に施錠されたキャビネットなどに保管することは，物理的セキュリティ対策の一環であり，これを視察して確認することが監査手続として適切です。

イ: 管理ルールを調べ，ノート型PCを社外に持ち出す場合には，セキュリティ管理者の許可を得るルールになっていることを確認する。
誤り。これは管理ルールの確認であり，物理的なセキュリティ対策の監査手続ではありません。

ウ: 教育計画及び教育記録を閲覧し，ノート型PCの安全管理についての社員教育が適切に行われていることを確認する。
誤り。これはセキュリティ教育の実施状況を確認するためのものであり，物理的なセキュリティ対策の監査とは異なります。

エ: 実際にノート型PCを操作して，パスワードを入力しないと利用可能にならない仕組みになっていることを確認する。
誤り。これは論理的なセキュリティ対策（アクセス制御）に関する監査であり，物理的なセキュリティ対策の監査とは異なります。