災害を想定した情報システムの業務継続計画の監査

令和7年度 秋期 システム監査技術者試験 午後Ⅱ 問題 問2「災害を想定した情報システムの業務継続計画の監査」についてである。

問題文

企業などの組織では，大規模自然災害などの発生時に重要な事業が継続できなくなる事態に備えて，事業継続計画を策定することが求められている。一方，事業における情報システムの重要性が高まることに伴い，事業継続計画と整合した情報システムの業務継続計画（以下，IT-BCP という）の重要性はますます高まってきている。

IT-BCP には，重要な事業を支える情報システムの目標復旧時間，目標復旧レベル，及び目標復旧時点，並びにそれらの目標を確保するための耐性，対策などが示されている必要がある。また，大規模自然災害などの発生時に想定外の事態となった場合においても，可能な限り柔軟に対応できる IT-BCP を策定することが求められている。

このような IT-BCP を策定するためには，災害の発生原因からだけではなく，災害が発生した場合の結果の事象（以下，結果事象という）からリスクを把握して分析し，評価することも有効である。例えば，震災と火災という発生原因が異なる災害であっても，”データセンターの機能喪失”という結果事象は同じである。また，IT-BCP の実効性を確保するためには，IT-BCP の訓練を実施することに加え，IT 環境の変化を踏まえて想定する結果事象を見直すとともに，IT-BCP の内容を適時に見直すことが重要になる。

システム監査人は，以上のような状況を踏まえて，IT-BCP が適切に策定され，実効性が確保されているかどうかを確かめる必要がある。

あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

設問ア

あなたが関係する情報システムの概要，当該システムを利活用する事業の概要及び事業継続が必要な理由，並びに当該システムに係る IT-BCP の概要について，400 字以上 800 字以内で述べよ。

設問イ

設問アで述べた IT-BCP について，目標復旧時間，目標復旧レベル，及び目標復旧時点が妥当かどうか，並びにそれらの目標を確保するための体制，対策が整備されているかどうかを確かめるための監査の着眼点につちえ，700 字以上 1,400 字以内で具体的に述べよ。

設問ウ

設問ア及び設問イを踏まえて，IT-BCP の実効性が確保されているかどうかを確かめるための監査手続について，想定する結果事象の見直しとの関連を含めて，700 字以上 1,400 字以内で具体的に述べよ。