重要情報の取扱いを委託する場合における、委託元の情報セキュリティ管理のうち、適切なものはどれか。
| ア | 委託先が再委託を行うかどうかは委託先の判断に委ね、事前報告も不要とする。 |
| イ | 委託先の情報セキュリティ対策が確認できない場合は、短期間の業務に限定して委託する。 |
| ウ | 委託先の情報セキュリティ対策が適切かどうかは、契約開始前ではなく契約終了時に評価する。 |
| エ | 情報の安全管理に必要な事項を事前に確認し、それらの事項を盛り込んだ上で委託先との契約書を取り交わす。 |
答え エ
【解説】
| ア | 委託先が再委託を行うかどうかは委託元が判断します。 |
| イ | 委託先の情報セキュリティ対策が確認できない場合、確認できるまで委託してはいけません。 |
| ウ | 委託先の情報セキュリティ対策が適切かどうかは、契約開始前に評価します。 |
| エ | 情報の安全管理に必要な事項を事前(契約前)に確認し、それらの事項を盛り込んだ上で委託先との契約書を取り交わします。 |
【キーワード】
・情報セキュリティ管理基準
- 情報セキュリティ管理基準
組織の保有する「情報資産」のリスクマネジメントが有効に行われているかどうかという点を評価するための「情報セキュリティ監査」にあたっての判断の尺度となるものです。
JISX 5080:2002(情報技術 - 情報セキュリティマネジメントの実践のための規範)をベースに策定されていて、132のコントロールとそれを詳細化した952のサブコントロールから構成されています。
もっと、「情報セキュリティ管理基準」について調べてみよう。
戻る
一覧へ
次へ