Question

ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について，JIS Q 27001:2014（情報セキュリティマネジメントシステム－要求事項）の附属書Aの管理策に照らして監査を行った。判明した状況のうち，監査人が，監査報告書に指摘事項として記載すべきものはどれか。

Accepted Answer

ソフトウェア開発におけるセキュリティ機能の試験は，開発期間が終了した後に実施している。。セキュリティ機能の試験を開発期間終了後にまとめて実施することは、不備の発見・修正が遅れ手戻りや残存リスクを招くため不適切であり、指摘事項となる。他の選択肢はいずれもセキュリティ確保に配慮した適切な取組である。

Answer

ソフトウェア開発におけるセキュリティ機能の試験は，開発期間が終了した後に実施している。

Answer

ソフトウェア開発は，セキュリティ確保に配慮した開発環境において行っている。

Answer

ソフトウェア開発を外部委託している場合，外部委託先による開発活動の監督・監視において，セキュリティ確保の観点を考慮している。

Answer

パッケージソフトウェアを活用した開発において，セキュリティ確保の観点から，パッケージソフトウェアの変更は必要な変更に限定している。