システム障害管理態勢に関する監査
令和4年度 秋期 システム監査技術者試験 午後Ⅱ 問題 問2「システム障害管理態勢に関する監査」についてである。
問題文
ビジネスを取り巻く環境が大きく変化する中,企業などの組織は,事業の再編,新規市場への参入,提供するサービスの高度化などによって,競争力を高めていくことが求められている。そのためには,例えば,既存の情報システムを統合又は連携させたり,外部組織が提供する情報システムを利用したりするなど,情報システムの改変が必要になる。最近では,API 接続などによって,外部組織の情報システムと連携するための改変を行って,付加価値を高めている事例も増えている。
一方,情報システムの改変によってシステム構成が複雑になると,システム障害が発生する可能性が高くなる。また,システム障害がどの箇所でいつ発生するのかの予測も困難であり,外部接続先の情報システムの障害による影響なども想定される。さらに,既存システムには,ソフトウェアの肥大化,複雑化,保守サービスの終了,運用・保守人材の不足などの問題もある。
このような状況において,システム障害管理が不十分であると,障害発生時にサービスへの影響が拡大したり,根本的な対策が実施されずに障害が再発したりするおそれがある。したがって,情報システムの改変を踏まえて,障害に対する基本方針,体制,訓練,見直しなどのシステム障害管理態勢の構築が重要になる。
システム監査人は,以上のような点を踏まえて,改変後のシステム障害管理態勢に関する着眼点を設定して,適切かつ十分な監査証拠を入手し,実効性のあるシステム障害管理態勢が構築されているかどうかを確かめる必要がある。
あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。
設問ア
あなたが関係する組織が提供するサービスを支える情報システムについて,改変の内容,システム障害によってサービスへの影響が拡大する要因,及び改変後のシステム障害管理態勢の概要を,800 字以内で述べよ。
設問イ
設問アで述べた要因を踏まえて,システム監査人として,システム障害管理態勢の実効性を確かめるために設定すべき着眼点及びその設定理由を,700 字以上 1,400 字以内で具体的に述べよ。
設問ウ
設問イで述べた着眼点について,入手すべき監査証拠,及びその監査証拠に基づいて確かめるべき具体的な内容を,700 字以上 1,400 字以内で具体的に述べよ。