ITパスポート過去問 令和2年度(2020年)問84
ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。
選択肢
- ア:雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。
- イ:情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。
- ウ:組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。
- エ:退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え,退職後もそれを守らせる。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSの人的資源に関するセキュリティ管理策は、自社の従業員だけでなく、業務を委託している他社の要員など、組織の情報に関わる外部関係者にも適用することが原則です。したがって、委託先には情報セキュリティの適用を要求しないとする記述は不適切です。
Point
この問題は、ISMSにおける人的資源に関するセキュリティ管理策が、誰に対して適用されるかを確認するものです。自社の従業員に限らず、委託先など外部関係者も管理の対象に含めて、組織の方針や手順の遵守を求める必要がある点を理解しているかが問われています。
解くために必要な知識
この問題を解くには、ISMSにおける人的資源のセキュリティ管理策が、採用から退職までの一連の段階を対象にし、必要に応じて委託先など社外の関係者にも適用されることを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ISMS | Information Security Management System。情報セキュリティを継続的に管理し、改善するための仕組みです。 |
| 情報セキュリティリスク対応 | リスクを回避、低減、移転、受容などの方法で扱うことです。 |
| 人的資源に関するセキュリティ管理策 | 人に起因するリスクを抑えるための管理策です。例として、採用時確認、教育、規律、懲戒、退職時の義務などがあります。 |
| 委託(外部委託) | 業務や運用を外部の組織に任せることです。 |
判断に必要な観点
適用対象の範囲
人的資源の管理策は、情報やシステムに関与する人を対象にします。
対象に含まれ得る例は次のとおりです。
-
自社の従業員
-
委託先の要員
-
派遣要員
人に関する管理の段階
人的資源の管理策は、人のライフサイクルに沿って考えます。
-
採用前(例: 経歴確認)
-
在職中(例: 教育、規律、違反時の手続)
-
退職時・退職後(例: 守秘義務などの継続)
問題の解法手順
問題文は「人的資源に関するセキュリティ管理策」の記述のうち「適切でないもの」を問うています。ここでは、管理策の適用対象に誰が含まれるかを軸に確認します。
各選択肢の整理
| 選択肢 | 判断内容 |
|---|---|
| ア | 採用前の確認を法令、規制、倫理に従って行う内容であり、人的資源の管理策として適切です。 |
| イ | 情報セキュリティ違反に対する正式な懲戒手続を定めて周知する内容であり、管理策として適切です。 |
| ウ | 自社従業員には要求するが、委託先には要求しないとしており、管理策の適用範囲として不適切です。 |
| エ | 退職後も有効な責任事項、義務を定めて伝え、遵守させる内容であり、管理策として適切です。 |
選択肢ごとの解説
- ア:不正解
採用前に候補者の経歴などを確認する場合は、関連する法令、規制及び倫理に従って実施する必要があるため、適切です。
- イ:不正解
情報セキュリティ違反への懲戒手続を定め、周知することは、抑止と再発防止のための管理策として適切です。手続が不明確だと、運用や処分の根拠が不安定になり得ます。
- ウ:正解
業務を委託している他社の要員が組織の情報に関わる場合、委託先にも組織の方針及び手順に従った情報セキュリティの適用を求めることが原則です。委託先には要求しないとする点が不適切です。
- エ:不正解
雇用終了時の管理策として、退職後も有効な責任事項や義務(例: 秘密保持)を定めて本人に伝達し、遵守を求めます。記述は適切です。
まとめ
ISMSの人的資源に関するセキュリティ管理策は、自社の従業員だけでなく、業務を委託している他社の要員など、組織の情報に関わる外部関係者にも適用することが原則です。したがって、委託先には情報セキュリティの適用を要求しないとする記述は不適切です。
テクノロジ系 > 技術要素 > セキュリティ
採用前に候補者の経歴などを確認する場合は、関連する法令、規制及び倫理に従って実施する必要があるため、適切です。
情報セキュリティ違反への懲戒手続を定め、周知することは、抑止と再発防止のための管理策として適切です。手続が不明確だと、運用や処分の根拠が不安定になり得ます。
業務を委託している他社の要員が組織の情報に関わる場合、委託先にも組織の方針及び手順に従った情報セキュリティの適用を求めることが原則です。委託先には要求しないとする点が不適切です。
雇用終了時の管理策として、退職後も有効な責任事項や義務(例: 秘密保持)を定めて本人に伝達し、遵守を求めます。記述は適切です。