週末の解放感はやっぱり良いですね。
最近帰宅が遅くなることが多くて疲れてるのかもしれないけれど今日は朝はゆっくり寝てました。
洗濯してから歯医者(虫歯は無いのですが、毎月通ってます)。2月なので虫歯になりにくいチョコをもらいました(*'▽')
で、帰宅後にシステム監査の平成29年の午後Iを解いてみました。
まずは、実際に選択した問3。
いやー、ズタボロです。テーマは石油精製会社のセキュリティがテーマ。
社内基幹ネットワークと、制御ネットワークが湧かれていて、それぞれ管理者や管理規定がが違うのがポイントです。
自分でも何故これを選択したか覚えてないのですが、おそらくセキュリティの問題だからとっつきやすそうと思ったのか、ぱっと問題を見てイメージが湧きやすかったからだと思います。
特に、2つのシステムでセキュリティの管理規定が違うとか、両方の規定が整合性が取れてて、穴が無いか?と考えるのが自然ですし、正式回答もその内容です(文言はちょっと違うけど意味はこんな感じ)。
問題選択時には全部を見てる時間が無いので、ここだけ見て選択したんだろうな。
その後の設問はどうもシステム監査の観点からだと違うみたい。
解答例では、ポリシを確認して、必要なパケットだけを通過するようにしているか、とあるのですが、自分の回答ではポリシを確認する点が抜けたりします。
この辺が試験までに強制すべきところですかね。。。
決まり事には、当然目的と、やるべきことを明確にする文書等あって、それが妥当⇒かつ設定や行動がその通りになっているか、という視点になるのかな?
続けて、選択してなかった問2も解いてみました。
これはシステム開発の品質管理の問題。
洗濯しなかったというより品質管理は問題が難しそうという思い込みがあって先に問3読んだな、と感じました(←チラ見くらいしとこうよ。。。)なので初見です。
こちらは逆に詳細設計とかでのレビュー指摘の件数とかの問題なので、実際解いてみると意外と解けます。
とはいっても、正式回答そのままではなく、微妙にずれてるので部分点もらえそう、といったところですが。
ただ、この問題の中で、監査手続きに改善すべき点があるという問題があるのですが、ここは的外れ。
正式回答:ソフトで解析するのなら、サンプリングではなく、全データ解析すべき。
自分の回答:分類として、作成者も加えて、レビューアと作成者が同一でないことを確認
間違ってないと思うけれど、これは製造工程のレビューでは別にするとなっているので、ここは詳細設計だけど、別の視点が必要だったか…。
ひとまず、これでH29年の過去問は先週も含めて午後Iは解いたので、更に前の過去問を解くか、参考書の演習問題を解いていくかが悩ましい。
どっちも進めますが、優先度の問題なのですけどね。
とりあえず、週末は手を動かせてよかった。休みの日は続けていきたいですね。
