情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について、情報セキュリティ管理基準(平成28 年)に基づき監査を実施した。 監査人が、指摘事項として監査報告書に記載すべきものはどれか。
| ア | 従業員による情報セキュリティ違反の可能性を認識したら、直ちに懲戒手続を開始することを定めていた。 |
| イ | 懲戒手続は、情報セキュリティ違反による業務への影響度、違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。 |
| ウ | 懲戒手続は、情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。 |
| エ | 懲戒手続を具体化した細則を策定すること、及び従業員に周知徹底することを定めていた。 |
答え ア
【解説】
| ア | 従業員による情報セキュリティ違反の可能性を認識したただけで、直ちに懲戒手続を開始することを定めているのは監査で指摘すべきです。(〇) |
| イ | 懲戒手続は、情報セキュリティ違反による業務への影響度、違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めているのは適切です。(×) |
| ウ | 懲戒手続は、情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めているのは適切です。(×) |
| エ | 懲戒手続を具体化した細則を策定すること、及び従業員に周知徹底することを定めているのは適切です。(×) |
【キーワード】
・情報セキュリティ管理基準
- 情報セキュリティ管理基準
組織の保有する「情報資産」のリスクマネジメントが有効に行われているかどうかという点を評価するための「情報セキュリティ監査」にあたっての判断の尺度となるものです。
JISX 5080:2002(情報技術 - 情報セキュリティマネジメントの実践のための規範)をベースに策定されていて、132のコントロールとそれを詳細化した952のサブコントロールから構成されています。
もっと、「情報セキュリティ管理基準」について調べてみよう。
戻る
一覧へ
次へ