情報セキュリティスペシャリスト平成26年秋期 午前Ⅱ 問25

問25

情報セキュリティに関する従業員の責任について,"情報セキュリティ管理基準"に基づいて監査を行った。指摘事項に該当するものはどれか。
  • 雇用の終了をもって守秘責任が解消されることが,雇用契約に定められている。
  • 定められた勤務時間以外においても守秘責任を負うことが,雇用契約に定められている。
  • 定められた守秘責任を果たさなかった場合,相応の措置がとられることが,雇用契約に定められている。
  • 定められた内容の守秘義務契約書に署名することが,雇用契約に定められている。

分類

マネジメント系 » システム監査 » システム監査

正解

解説

情報セキュリティ管理基準は、情報セキュリティマネジメントにおける管理策のための国際標準規格であるISO/IEC 17799:2000(JIS X 5080:2002)を基に、組織の業種などを問わず汎用的に適用できるように、情報セキュリティに関するコントロールの目的、コントロールの項目を規定したものです。

この中で雇用に関する事項は「4.人的資源のセキュリティ」に規定されていて、雇用契約に関する事項は「4.1 雇用前」に記述されています。
  • 正しい。「雇用終了後も、定められた期間は雇用条件に含まれる責任を継続する」と規定されています。このため、雇用の終了と同時に守秘義務が解消される状態は、指摘事項に該当します。
  • 「雇用条件には、組織の構外及び通常の勤務時間外に及ぶ責任(例えば、在宅勤務における責任)を含める」と規定されているので、指摘事項には該当しません。
  • 「雇用条件には、従業員、契約相手及び第三者の利用者が組織のセキュリティ要求事項に従わない場合に取る処置を含める」と規定されているので、指摘事項には該当しません。
  • 「雇用条件には、取扱いに慎重を要する情報へのアクセスが与えられる、すべての従業員、契約相手及び第三者の利用者による、情報処理施設へのアクセスが与えられる前の、秘密保持契約書又は守秘義務契約書への署名を含める」と規定されているので、指摘事項には該当しません。
参考リンク:情報セキュリティ管理基準(PDF)
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop