令和2年秋期試験問題 問84
問84解説へ
ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。
- 雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。
- 情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。
- 組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。
- 退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え,退職後もそれを守らせる。
正解 ウ問題へ
広告
解説
ISMSの管理策の具体例はJIS Q 27002として規格化されています。本問はこの規格に基づいて解説をしています。
- 適切。全ての従業員候補者についての経歴などの確認は,関連する法令,規制及び倫理に従って行うことが望ましいとされています(JIS Q 27002-7.1.1)。
- 適切。情報セキュリティ違反を犯した従業員に対して処置をとるための,正式かつ周知された懲戒手続を備えることが望ましいとされています(JIS Q 27002-7.2.3)。
- 適切でない。組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について,供給者と合意し,文書化することが望ましいとされています(JIS Q 27002-15.1.1)。したがって、業務を委託している他社に対して適用すべき情報セキュリティ管理策を特定し、それを義務付けることが望まれます。
- 適切。雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め,その従業員又は契約相手に伝達し,かつ,遂行させることが望ましいとされています(JIS Q 27002-7.3.1)。
広告