問題
問84
ISMSの情報セキュリティリスク対応における、人的資源に関するセキュリティ管理策の妥当として、適切でないものはどれか。
- 雇用する候補者全員に対する経歴などの確認は、関連する法令、規則及び倫理に従って行う。
- 情報セキュリティ違反を犯した従業員に対する正式な懲戒手続きを定めて、周知する。
- 組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが、業務を委託している他社には要求しないようにする。
- 退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。
[出典:ITパスポート試験 令和2年度 問84]
正解
正解は「ウ」です。
解説
選択肢「ウ」が正解です。情報セキュリティ管理策において、組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求することは適切ですが、業務を委託している他社には要求しないようにすることは適切ではありません。
情報セキュリティは組織全体で取り組むべきものであり、業務を委託している他社にも同様のセキュリティ管理策を適用する必要があります。例えば、外部の業務委託先が情報漏洩を引き起こした場合、自社の情報も危険にさらされる可能性があるため、委託先にも同様のセキュリティ対策を求めることが重要です。
ア(雇用する候補者全員に対する経歴などの確認は、関連する法令、規則及び倫理に従って行う):
これは適切なセキュリティ管理策です。雇用する候補者の経歴確認は、法令や規則に従って行うべきです。
イ(情報セキュリティ違反を犯した従業員に対する正式な懲戒手続きを定めて、周知する):
これは適切なセキュリティ管理策です。情報セキュリティ違反に対する懲戒手続きを定めて周知することは重要です。
エ(退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる):
これは適切なセキュリティ管理策です。退職後も情報セキュリティに関する責任事項及び義務を守らせることは重要です。
難易度
この問題の難易度は中程度です。情報セキュリティ管理策に関する基本的な知識が必要ですが、選択肢の内容を理解し、適切でないものを選ぶことが求められます。初心者でも学習を進めれば解答可能な問題です。
用語補足
ISMS:
Information Security Management System(情報セキュリティマネジメントシステム)の略で、組織の情報セキュリティを管理し、リスクを評価・対応するためのフレームワークです。
セキュリティ管理策:
組織が情報を守るために講じる具体的な方針や対策のことです。例えば、アクセス制御や職務分離などの管理手法が含まれます。
対策
この問題を解くためには、ISMSの概念と情報セキュリティ管理策に関する基本的な知識を学ぶことが重要です。特に、人材管理に関連するセキュリティ施策について深く理解し、事例を通じて適切・不適切を判断できるようにすることが求められます。
