情報セキュリティに関する従業員の責任について、“情報セキュリティ管理基準”に基づいて監査を行った。指摘事項に該当するものはどれか。
ア 雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている。
イ 定められた勤務時間以外においても守秘責任を負うことが、雇用契約に定められている。
ウ 定められた守秘責任を果たさなかった場合、相応の措置がとられることが、雇用契約に定められている。
エ 定められた内容の守秘義務契約書に署名することが、雇用契約に定められている。
ア
ア 正しい。平成28年改正版の情報セキュリティ管理基準では、7.1.2.10に
「雇用の終了後も、定められた期間は、その雇用条件に含まれている責任を継続させる。」と記載があり、監査において指摘事項に該当する。
イ 従業員の責任として適切であり、指摘事項に該当しない。勤務時間、勤務場所に関わらず、守秘責任がある。平成20年改正版の情報セキュリティ管理基準では、4.1.3.7には
「雇用条件には、組織の構外及び通常の勤務時間外に及ぶ責任(例えば、在宅勤務における責任)を含める。」と記載があった。
ウ 平成28年改正版の情報セキュリティ管理基準では、7.1.2.6に
「従業員又は契約相手の契約には、従業員又は契約相手が組織のセキュリティ要求事項に従わない場合にとる処置を含める。」と記載がある。
エ 平成28年改正版の情報セキュリティ管理基準では、7.1.2.2に
「従業員又は契約相手の契約には、秘密情報へのアクセスが与えられる全ての従業員及び契約相手による、情報処理施設へのアクセスが与えられる前の、秘密保持契約書又は守秘義務契約書への署名を行う。」と記載がある。
問20 | 目次 | 問22 |