システム開発や運用業務を行う海外拠点に対する情報セキュリティ監査
平成23年度 春期 システム監査技術者試験 午後Ⅱ 問題 問1「システム開発や運用業務を行う海外拠点に対する情報セキュリティ監査」についてである。
問題文
昨今,多くの日本企業が海外に進出し,事業活動の範囲を拡大している。特に,安価な労働力やおう盛な消費意欲を求めて,アジア諸国に進出するケースが多い。海外に進出するときには,事業を短期間で軌道に乗せるために,現地企業と連携したり,安定した事業基盤を構築するために,現地に支店や子会社を設立したりすることが多い。
このような海外進出の一環として,システム開発や運用業務を海外拠点に移す企業も珍しくない。システム開発や運用業務では,経営,人事,財務,営業などに関する企業情報,製品の技術情報などを扱うことが多い。場合によっては,顧客の個人情報にアクセスすることもあるので,海外拠点でも国内拠点と同様に様々な情報を適切に管理しなければならない。
海外拠点は,文化,商慣習,従業員の労働条件,法規制,電力やネットワークなどの社会的インフラなど,様々な面で日本とは状況が異なるので,システム開発や運用業務を海外拠点で行う場合にはこれらの面に留意する必要がある。
システム監査人は,海外拠点に対して情報セキュリティ監査を実施する場合,海外拠点に特有のリスクやコントロールを十分に考慮し,監査の体制や方法を工夫する必要がある。
あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。
設問ア
あなたが関係する組織において,システム開発や運用業務を海外拠点で行っている,又は海外拠点で行うことを検討している場合,その背景,目的及び実施状況や検討状況について,800 字以内で述べよ。
設問イ
設問アに関連して,システム開発や運用業務を海外拠点で行う場合,情報セキュリティ上の想定されるリスク及びコントロールについて,海外拠点特有の状況を踏まえて,700 字以上 1,400 字以内で具体的に述べよ。
設問ウ
設問イに関連して,システム開発や運用業務を行う海外拠点に対して,情報セキュリティ監査を効率よく,効果的に実施するために留意すべき事項を,700 字以上 1,400 字以内で具体的に述べよ。