ITパスポートの過去問
令和2年度 秋期
テクノロジ系 問84

情報セキュリティリスクに関する人的資源のセキュリティについて、JIS Q 27002の第7章、第15章で定められています。

１．雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行うように定められていますので、正解です。（7.1.1）

２．情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて周知する事は必要ですので、正解です。（7.2.3）

３．業務を委託している他社に対しても情報セキュリティの適用を要求する必要がありますので、誤りです。（15.1.1）

４．退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせることは必要ですので、正解です。（7.3.1）

情報セキュリティ管理基準は、JIS Q 27002として規格化され、情報セキュリティリスク対応における人的資源に関するセキュリティ管理策に関しての管理策基準は、

7 人的資源のセキュリティ
7.1 雇用前
7.2 雇用期間中
7.3 雇用の終了又は変更

の各章に記述されています。

JIS Q 27002では、人的資源のセキュリティは、企業が雇用契約を結ぶ資源であり、従業員を対象としています。


1 .雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行う。


7.1 雇用前

7.1.1 全ての従業員候補者についての経歴などの確認は、関連する法令、規制及び倫理に従って行う。
また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行う。

と記述されていますので、適切です。



2 .情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて、周知する。


7.2 雇用期間中

7.2.3 情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備える。

と記述されていますので、適切です。



3 .組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが、業務を委託している他社には要求しないようにする。


JIS Q 27002では、人的資源のセキュリティは、企業が雇用契約を結ぶ資源であり、従業員を対象としています。したがって、業務委託を行っている他社は人的資源のセキュリティ対象ではありません。

業務委託を行っている他社は供給者という括りで、15 供給者関係に記載されています。
この章では、供給者に対しても情報セキュリティに関する要求事項及び管理策に関する合意書を作成の上、組織のセキュリティ要求事項を順守するという供給者の義務を求めるようにする内容が記述されています。


以下関係個所抜粋

15 供給者関係

15.1 供給者関係における情報セキュリティ

15.1.1 組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化する。

15.1.1.13 組織が実施する、並びに組織が供給者に対して実施を要求するプロセス及び手順には、情報セキュリティに関する要求事項及び管理策を、両当事者が署名する合意書の中に記載する条件を含める。

15.1.2 関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、
保存若しくは通信を行う、又は組織の情報のためのIT 基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意する。

15.1.2.17 特定された情報セキュリティ要求事項を満たすために、供給者との合意には、組織のセキュリティ要求事項を順守するという供給者の義務を含める。


そもそも、人的資源のセキュリティではなく、供給者に対しても要求を行うことが正しいので、不適切です。



4 .退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。


7.3 雇用の終了及び変更

7.3.1 雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員又は契約相手に伝達し、かつ、遂行させる。

と記述されていますので、適切です。

したがって、３が正解です。

本問のセキュリティ管理策はそれぞれ、JIS Q 27002で規定されています。