今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は4.7章:人的セキュリティのCheck問題です。
【Q1】人的資源のセキュリティに関するISMSの管理策を述べよ。
①すべての従業員候補者についての経歴などの確認は、事業上の要求事項や情報の分類、リスクに応じて、関連する法令・規制・倫理に従うこと。
②雇用契約書に情報セキュリティに関する各自の責任と組織の責任を明確にすること。
③経営陣はすべての従業員・契約相手に対し、組織の方針及び手順に従った情報セキュリティの適用を要求すること。
④すべての従業員・契約相手は、職務に関する組織の方針・手順について、意識向上のための教育・訓練を受けること。
⑤情報セキュリティ違反行為に対する正式かつ周知された懲戒手続を備えること。
⑥雇用の終了または変更後も有効な情報セキュリティに関する責任および義務を定め、従業員や契約相手に伝達し遂行させること。
【Q2】内部犯罪を防ぐ上で有効な人的セキュリティ対策は何か。
①社員の責務の明確化
・業務で知りえた情報やノウハウなどを外部に漏らすことを禁止するなど、本来の目的から逸脱した取り扱いをしてはならない旨を就業規則などに明記する。
・情報セキュリティポリシに違反した場合は罰則が適用される旨をポリシに明記する。
②体制面での対策
・特定の社員に権限が集中しないように職務を分離する。
・重要な作業については複数人で確認してミスを防ぐ体制にする。
・業務のバックアップ体制を整備する。
・業務内容を相互にチェックし牽制する体制を作る。
③作業環境の整備・健康維持・メンタルケアなど
・作業環境の問題や過労による健康被害、ミスなどが発生しないよう対策を施す。
・社員のストレス、不満などをケアする体制や仕組みを整備する。
④教育・訓練
・情報セキュリティに関する教育・訓練の実施計画を立案する。
・社員の職務や役割などに応じた効果的な教育カリキュラムを立案する。
・新規雇用、配属、契約、役割の変更などに応じた教育カリキュラムを立案する。
・情報セキュリティ教育体制を整備し、計画に従って定期的・継続的に教育を実施する。
・教育・訓練の実施記録を残すとともに、実施効果を測定・分析する。
・教育・訓練の効果分析結果を評価し、教育実施計画やカリキュラムを見直す。
⑤委託先の管理
・業務の委託に際し、業務内容に応じて業者の情報セキュリティに関する能力、資格などを審査し、選定する。
・委託先との契約にあたっては秘密保持に関する事項を盛り込むとともに、問題発生時の責任範囲、対応方法などを明確にする。
・委託先の情報管理、セキュリティ対策実施状況などを定期的にチェックする。
私が使っているのは2022年版のテキストですが、もう2024年向けのテキストも出ています!