平成25年春期試験問題 午前Ⅰ 問21
問21解説へ
情報セキュリティに関する従業員の責任について,"情報セキュリティ管理基準"に基づいて監査を行った。指摘事項に該当するものはどれか。
- 雇用の終了をもって守秘責任が解消されることが,雇用契約に定められている。
- 定められた勤務時間以外においても守秘責任を負うことが,雇用契約に定められている。
- 定められた守秘責任を果たさなかった場合,相応の措置がとられることが,雇用契約に定められている。
- 定められた内容の守秘義務契約書に署名することが,雇用契約に定められている。
正解 ア問題へ
分野 :マネジメント系
中分類:システム監査
小分類:システム監査
中分類:システム監査
小分類:システム監査
広告
解説
情報セキュリティ管理基準は、情報セキュリティマネジメントにおける管理策のための規格であるJIS Q 27001とJIS Q 27002を基に、組織体の業種及び規模等を問わず汎用的に適用できるように、情報資産を保護するための最適な実践慣行を帰納要約し、情報セキュリティに関するコントロールの目的、コントロールの項目を規定したものです。情報セキュリティ管理基準は、情報セキュリティ監査基準に従って監査を行う場合に、監査人の判断の尺度として用いるべき基準となります。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
- 正しい。管理策として"雇用の終了後も、定められた期間は、その雇用条件に含まれている責任を継続させる"と定められています。したがって、雇用の終了と同時に守秘義務が解消される契約は、指摘事項に該当します。
- 情報セキュリティ管理基準上では定めがありませんが、守秘義務は労働契約に付随する信義則上の義務です。特別の根拠がなくても従業員は守秘義務を負うので、雇用契約に明記してあっても問題はありません。
※平成20年版の情報セキュリティ管理基準には"雇用条件には、組織の構外及び通常の勤務時間外に及ぶ責任(例えば、在宅勤務における責任)を含める"という定めがありましたが、平成28年版では削除されています。管理策として"従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載する"という定めがあるので、指摘事項には該当しません。 - 管理策として"従業員又は契約相手の契約には、従業員又は契約相手が組織のセキュリティ要求事項に従わない場合にとる処置を含める"いう定めがあるので、指摘事項には該当しません。
- 管理策として"従業員又は契約相手の契約には、秘密情報へのアクセスが与えられる全ての従業員及び契約相手による、情報処理施設へのアクセスが与えられる前の、秘密保持契約書又は守秘義務契約書への署名を行う"という定めがあるので、指摘事項には該当しません。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
広告