サンプル問題午後I改題：情報セキュリティアドミニストレータ試験対策

〔S社の情韓セキュリティ対策基準の内容〕

　S社の情報セキュリティ対策基準の内容（抜粋）は、下記のとおりで
ある。

　　　　　　　　情報セキュリティ対策基準（抜粋）
　　　　　　　　　　　　　　　　　　　　　情報セキュリティ管理者

　本対策基準は、当社の【　a　】を適切に保護するために必要な最低
限度の取決め及び責任の所在の明確化によって、【　a　】の損失を未
然に防ぐことを目的としている。本対策基準が有効に機能するように、
社員は、これを遵守しなければならない。

1．適用範囲

　(1)本対策基準は、経営者及び派遣社員を含むすべての社員に適用
　　される。
　(2)本対策基準は、ハードウェア、ソフトウェア、コンピュータネ
　　ットワーク、各種データファイルなどの情報システム並びにシス
　　テム開発、運用及び保守のための各種資料や顧客情報を含むすべ
　　ての【　a　】に適用される。

2．対策基準の遵守

　(1)社員は、当社が定期的に開催する【　c　】に必ず参加しなければ
　　ならない。
　(2)当社は、本対策基準に反する行為を行った者に対して情報シス
　　テムの利用を制限するとともに、その内容によっては、就業規則
　　に基づき懲戒を課すことがある。

3．パスワードの運用

　　（省略）

4．コンピュータウイルス対策

　　（省略）

5．システムのアクセス制御

　(1)機密情報については、アクセス可能なユーザを制限する。
　(2)営業上重要な情報へのアクセスは、参照に限りすべてのユーザ
　　に認める。

6．インターネットの利用

　(1)業務とは関係のないサイトへのアクセスを禁止する。ユーザは、
　　禁止されているサイトへのアクセスが業務上必要な場合、シス
　　テム管理者の許可を得なければならない。
　(2)A社のインターネットフィルタリングソフトを導入し、業務と
　　は関係のないサイトへのアクセスを制御する。

（以下省略）


設問１
本文中の【　a　】に入れる適切な字句を、5文字以内で答えよ。

答情報資産

設問２
本文中の【　c　】に入れる適切な字句を、10文字以内で答えよ。

答情報セキュリティ教育

設問３
今回策定したS社の"情報セキュリティ対策基準"には、情報セキュリ
ティ対策基準の内容としてふさわしくない項目がある。その番号
（例えば、1の(1)）を挙げ、その理由をそれぞれ40字以内で述べよ。

解答例１5の(2)：許容する内容を記述するのではなく制限、制御事項を具体的に記述する必要があるため。

解答例２6の(1)：禁止されているサイトへのアクセスはシステム管理者でなく部門長の許可が必要なため。

解答例３6の(2)：特定の会社の製品について基準の中で記述するのはふさわしくない。