今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。

 

勉強に使ったのはこちら

章の終わりにあるCheck問題に私なりの答えで解答していきます。

 

今回は4.5章：情報資産の管理及びクライアントPCのセキュリティのCheck問題です。

 

【Q1】情報資産の管理に関するISMSの管理策を述べよ。

①情報及び情報処理施設に関連する資産を特定するとともに、当該資産の目録（台帳など）を作成し、維持すること
②目録の中で維持される資産を管理すること
③情報の利用の許容範囲、情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則を明確にして文書化し、実施すること
④雇用、契約などの完了時に、すべての従業員及び外部の利用者は自らが所持する組織の資産をすべて返却すること
⑤情報を法的要求事項・価値・重要度や取り扱いに慎重を要する度合いなどの観点から分類すること
⑥組織が採用した情報分類体系に従って情報のラベル付けに関する適切な手順を策定し、実施すること
⑦組織が採用した情報分類体系に従って資産の取り扱いに関する手順を策定し、実施すること
⑧組織が採用した分類体系に従って、取り外し可能な媒体の管理のための手順を実施すること
⑨媒体が不要になった場合は、手順に従い、セキュリティを保って処分すること
⑩情報を格納した媒体は、輸送の途中における不正使用や破損から保護すること

 

【Q2】情報資産の洗い出しにおいて記入すべき項目を挙げよ。

①名称（ファイル名・帳票名 など）
②主な項目
③利用者・管理者
④記憶媒体（紙・ハードディスク・クラウド・CD・DVD など）
⑤保管方法（場所・期間）
⑥廃棄方法など

 

【Q3】個人情報の洗い出しにおいて記入すべき項目を挙げよ。

①利用目的
②利用目的の通知方法
③本人の属性（社員・顧客 など）
④取得方法（本人から直接取得・業務の受託によって取得 など）
⑤取得手段（電話・FAX・電子メール・Web・郵送・手渡し など）
⑥利用範囲（社内利用・委託先で利用・第三者に提供 など）
⑦件数

 

【Q4】情報システムの洗い出しにおいて記入すべき項目を挙げよ。

①システム名
②利用者（社員のみ、特定会員のみ・不特定多数の社外利用者 など）
③管理者
④設置場所（データセンタ・サーバ室・クラウド上のサーバ など）
⑤主な用途
⑥システム構成（オンプレミス・クラウド など）
⑦取り扱っている情報
⑧利用形態（インターネットからの利用・リモートアクセスによる利用 など）
⑨アクセス制御／認証の実施方法
⑩バックアップの実施方法
⑪ログの取得状況／保存期間
⑫求められるサービスレベル（許容できるサービス停止時間 など）

 

【Q5】情報資産を分類する目的は何か。

情報資産の機密性や重要度に応じて、適切な対策を行うため。

 

【Q6】情報資産のラベル付けを行う目的は何か。

情報資産の重要度や保管期限などの情報を情報資産事態に明示することにより、個々の情報資産の内容や取り扱い方法を容易に確認できるようにするため。

 

【Q7】情報資産のライフサイクルとは何か。

情報が発生してから廃棄されるまでの一連の流れ。

 

【Q8】情報資産のライフサイクルにおいて、情報セキュリティの観点から特に留意すべき事項を挙げよ。

①情報資産の重要度や媒体に応じた保管場所や保管方法を明確にする。
②複製の可否やその判断基準・承認者を明確にする。
　複製する場合はその目的や用途、複製した情報資産の管理者・取り扱い方法を明確にする。
③持ち出しの可否やその判断基準・承認者を明確にする。
　持ち出す場合は目的や用途、持ち出し先・返却の有無・返却予定日などを明確にし、持ち出す情報資産の管理者・取り扱い方法を明確にする。
④情報資産の重要度や媒体に応じた廃棄方法や手順を明確にする。

 

【Q9】個人情報の取扱いにおいて留意すべき点を挙げよ。

組織に存在する個人情報であっても、本来の情報の持ち主はあくまで個々の個人（本人）のものであるため、本人が認識していない範囲や目的で取り扱われることがあってはならない。

 

【Q10】クライアントPCの管理において、情報セキュリティの観点から明確にしておくべき事項を挙げよ。

①クライアントPCの所在・利用者・管理者を明確にし、台帳などで管理する。
②複数名で共有しているクライアントPCの有無、利用者・管理者を明確にし、管理する。
③個人所有のクライアントPCの取り扱い方法（可否・管理方法 など）を明確にする。

 

私が使っているのは2022年版のテキストですが、2023年版も出ています。