H28SG午後問3では、CSA(Control Self Assessment:統制自己評価)に関する出題がありました。CSAの内容が丁寧に解説されていますので、引用します。
〔監査部による情報セキュリティ監査〕
R社監査部は, 1年に1回,   CSA (Control Self Assessment:統制自己評価)方式による情報セキュリティ監査を実施している。CSAとは,監査部が被監査部門を直接評価するのではなく,被監査部門が,自部門の活動を評価することを指す。R社監査部では,被監査部門にCSAの実施を依頼し,その結果を活用して監査を実施している。
R社では,5年前,監査の方式を決定するに当たり,②監査部が各部門を直接監査する方式とCSA方式の利点 欠点を比較評価した。その結果,R社にとってはCSA方式の方がメリットが大きいと判断し,  CSA方式を採用した。
R社の監査実施の手順を図1に示す。 
1.監査部が各部門にCSAシートを配布し,  CSAの実施と結果の提出を依頼する。
2.各部門は,  CSAシートを用いてCSAを実施する。
3.監査部が各部門から提出されたCSA結果を検証し,不明な点は当該部門に確認する。
4.   “NG"の評価項目がある場合,及び改善が必要と監査部が判断した場合は,当該部門に改善計画の策定と提出を依頼する。
(改善が必要になった場合は次を行う。)
5.改善が必要な部門は,改善計画を監査部に提出する。
6.監査部は,提出された改善計画が適切か確認する。
7.当該部門は,改善計画に基づき改善を実施する。
8.改善後,当該部門は監査部に改善結果を報告する。
9.監査部は改善された状況を確認し,適切であれば改善完了とする。
図I R社の監査実施の手順

設問2 本文中の下線②について,  CSA方式の利点を二つ,解答群の中から選べ。
解答群
ア 関連法規への準拠性が担保できる。
イ 業務内容の十分な理解に基づいて評価できる。
ウ 証跡を提出する必要がない。
エ 独立的な立場から公正に評価できる。
オ 評価実施者に対する意識付けや教育として役立つ。

設問2の正解は、イとオです。CSAならではの利点ですね。