システム監査の実施内容に関する記述のうち、適切なものはどれか。
ア:ISO 9001に基づく品質マネジメントシステムを、品質管理責任者が構築し運営する。
イ:開発担当者が自ら開発したシステムの内容をテストする。
ウ:情報システムのリスクに対するコントロールが適切に整備・運用されているかを、監査対象から独立した第三者が評価する。
エ:専用のソフトウェアを使って、システム管理者がシステムのセキュリティホールを自ら検証する。
答:ウ
ア:誤り。品質マネジメントシステムの構築・運営は、第三者によるシステム監査における実施内容ではない。
イ:誤り。システム内容のテストは、開発段階で行われるので、第三者によるシステム監査における実施内容ではない。
ウ:正しい。システム監査では、情報システムのリスクに対するコントロールが適切に整備・運用されているかを、監査対象から独立した第三者が評価する。
エ:誤り。システム管理者がシステムのセキュリティホールを自ら検証するのは、第三者によるシステム監査における実施内容ではない。