人的セキュリティ
問 題 《情報セキュリティアドミニストレータ午後対策》
ISMS認証基準(Ver.2.0) 人的セキュリティ P.26 (pdf27/60)
http://www.isms.jipdec.jp/v2/v2.html
を読んで下記問いに答えよ。
(1) 6.(1)職務定義及び雇用におけるセキュリティ
の管理目的は何か。
(2) 6.(2)利用者の訓練
の管理目的は何か。
(3) 6.(3)セキュリティ事件・事故及び誤動作への対処
の管理目的は何か。
(4)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1) 6.(1)職務定義及び雇用におけるセキュリティの管理目的は何か。
人的セキュリティを考える際に、組織における人のライフサイクル
を考えるとセキュリティレベルが変化するポイントが明確になります。
採用から退職まで適切な管理策を講じなければなりません。
◇人のライフサイクル
┌─────────────┐・採用時の注意事項遵守 │採用時のセキュリティ │・機密保持契約の合意 └─────────────┘・適切なアクセス権限の付与/設定 ↓ ・組織、部署毎の情報セキュリティ教育 ↓ ┌─────────────┐ │人事異動時のセキュリティ │・部署毎のセキュリティポリシ遵守 └─────────────┘・組織、部署毎の情報セキュリティ教育 ↓ ↓ ┌─────────────┐ │休職時のセキュリティ │・アクセス権限の見直し/削除 └─────────────┘ ↓ ↓ ┌─────────────┐ │退職時(後)のセキュリティ│・アカウントの削除 └─────────────┘・情報資産(機密文書等)の返却、滅却
情報セキュリティアドミニストレータ試験の午後問題において、
人の管理の問題が出題された場合、上記のような節目で適切な管理が
なされているか注意深く読んでください。
(2) 6.(2)利用者の訓練の管理目的は何か。
>とし、通常の仕事の中で利用者が組織のセキュリティ基本方針を維持
>していくことを確実にするため。
ISMSの適用範囲における情報資産を取り扱う利用者全てを対象に、
定期的に適切な情報セキュリティ教育を行わなければなりません。
◇ISMSの適用範囲 とは。。。
ISMSの適用範囲は、事業の特徴、組織、その所在地、資産及び技
術の観点を考慮して定義されます。
(3) 6.(3)セキュリティ事件・事故及び誤動作への対処の管理目的は何か。
>並びにそのような事件・事故を監視してそれらから学習するため。
セキュリティ事件・事故及び誤動作が発生してしまった場合に、損害を最小限に
抑えるために迅速な対処を取らなければなりません。
そのために、連絡体制の確立と報告手順が策定されていなければなりません。
実際にセキュリティ事件・事故及び誤動作が発生してしまった時は
タイプ及び影響度を把握し、そのうえでコスト面での定量的把握を
実施し、再発防止策を講じなければなりません。
また、この管理項目では、セキュリティポリシに違反した者に対し
正式な懲戒プロセスが必要であるとしています。
(4)感想・調べたこと
>しいて言えば、この資料自体とても重要なので熟読する事ですかね...
人的セキュリティは非常に重要な管理項目です。
情報セキュアド試験の午後問題で出題される可能性は高いです。
人的セキュリティの管理基準は上記3本柱で成り立っていますが、
手を変え品を変えいろいろな観点から出題されます。
たとえば、「情報セキュリティ教育を実施している」とだけ聞くと
プロセスは正しく遂行されていると思われがちですが、
実際は、情報システム部が専門用語を使用し、実態の業務に則した形で
行われていないだとか、情報セキュリティ教育を受ける対象者は、組織に関わる
全てを対象としなければならないのに、役員が含まれていないなどが考えられます。
sponsored link
このページ
のTOPへ
