IPA情報セキュリティスキルマップ構築の調査研究1-05
人による誤り、盗難、不正行為、又は設備の悪用のリスクを軽減す
るために行う管理策として具体的なものとして、どれが該当するか、
最も適切なものを選択せよ。
ア セキュリティポリシーの策定
イ アクセス制御
ウ 秘密保持契約書への署名
エ セキュリティが保たれた領域での作業
解答
ウ 秘密保持契約書への署名
人的セキュリティに関しては、大きく分けて、職務定義及び雇用に
おけるセキュリティ、利用者の訓練、セキュリティ事件・事故及び
誤動作への対処等があります。
> ア セキュリティポリシーの策定
企業・組織の情報資産を人による誤り、盗難、不正行為、または設
備の悪用といったさまざまな脅威から守るために、情報セキュリテ
ィポリシは必須です。
ここでは、問題文の記述の中に、「具体的なもの」とありますので、
解答としては相応しくありません。
情報セキュリティポリシーの基本的な構造の概念を見ておきましょう。
◇情報セキュリティポリシーの基本的な構造の概念
─┬─ ─┬─
/\ │ │
/ \ │狭義の │
/ \ │セキュリティ│
/ ポリシー \ │ポリシ │
/ (基本方針) \ │ │広義の
/──────────\ ─┴─ │セキュリティ
/ スタンダード \ │ポリシ
/ (実施基準) \ │
/────────────────\ │
/ プロシージャ \ │
/ (実施手順) \ │
────────────────────── ─┴─
◇ポリシー(基本方針) とは。。。
情報セキュリティに対する組織としての統一的かつ基本的な考え
方や方針を示すもので、単に「ポリシ-」または「基本ポリシー」
とも呼ばれます。情報セキュリティポリシーの最上位に位置付け
られるもので、情報セキュリティポリシーの目的、対象範囲、維
持管理体制、義務、罰則などが記述されます。
◇スタンダード とは。。。
情報セキュリティ基本方針を実践し、適切な情報セキュリティレ
ベルを確保・維持するための遵守事項や基準であり、「スタンダ
ード」とも呼ばれます。
◇プロシージャ とは。。。
情報セキュリティ対策基準を実施するための詳細な手続や手順で
あり、「プロシージャ」とも呼ばれます。各スタンダードをより
具体化し、各部署において実際に運用するための手続や手順が記
述されます。
> イ アクセス制御
アクセス制御は、人的(管理的)セキュリティの観点からみると、
職務によるアクセス制御の定義、技術的(論理的)セキュリティの
観点からみると、ID、パスワードによる制御などの技術的なアクセ
ス制御が考えられます。
アクセス制御を適切に行うことにより、アクセス権限のない人に
よる誤り、盗難、不正行為、または設備の悪用のリスクに関して
一定の軽減が図れるとは思いますが、アクセス権限のある人に対
しては、情報セキュリティに関する意識を高める必要があります。
> ウ 秘密保持契約書への署名
人による誤り、盗難、不正行為、又は設備の悪用のリスクを軽減す
るために行う管理策として、秘密保持契約書への署名が考えられま
す。
秘密保持契約書に署名をさせることで、脅威の発生確率が抑えられ、
抑止効果が働きます。
> エ セキュリティが保たれた領域での作業
物理的及び環境的セキュリティです。
セキュリティが保たれた領域での作業行うことにより、人による誤
り、盗難、不正行為、または設備の悪用のリスクに関して一定の軽
減が図れるとは思いますが、作業者の情報セキュリティに関する意
識を高める必要があります。
るために行う管理策として具体的なものとして、どれが該当するか、
最も適切なものを選択せよ。
ア セキュリティポリシーの策定
イ アクセス制御
ウ 秘密保持契約書への署名
エ セキュリティが保たれた領域での作業
解説
難易度 ★★解答
ウ 秘密保持契約書への署名
人的セキュリティに関しては、大きく分けて、職務定義及び雇用に
おけるセキュリティ、利用者の訓練、セキュリティ事件・事故及び
誤動作への対処等があります。
> ア セキュリティポリシーの策定
企業・組織の情報資産を人による誤り、盗難、不正行為、または設
備の悪用といったさまざまな脅威から守るために、情報セキュリテ
ィポリシは必須です。
ここでは、問題文の記述の中に、「具体的なもの」とありますので、
解答としては相応しくありません。
情報セキュリティポリシーの基本的な構造の概念を見ておきましょう。
◇情報セキュリティポリシーの基本的な構造の概念
─┬─ ─┬─
/\ │ │
/ \ │狭義の │
/ \ │セキュリティ│
/ ポリシー \ │ポリシ │
/ (基本方針) \ │ │広義の
/──────────\ ─┴─ │セキュリティ
/ スタンダード \ │ポリシ
/ (実施基準) \ │
/────────────────\ │
/ プロシージャ \ │
/ (実施手順) \ │
────────────────────── ─┴─
◇ポリシー(基本方針) とは。。。
情報セキュリティに対する組織としての統一的かつ基本的な考え
方や方針を示すもので、単に「ポリシ-」または「基本ポリシー」
とも呼ばれます。情報セキュリティポリシーの最上位に位置付け
られるもので、情報セキュリティポリシーの目的、対象範囲、維
持管理体制、義務、罰則などが記述されます。
◇スタンダード とは。。。
情報セキュリティ基本方針を実践し、適切な情報セキュリティレ
ベルを確保・維持するための遵守事項や基準であり、「スタンダ
ード」とも呼ばれます。
◇プロシージャ とは。。。
情報セキュリティ対策基準を実施するための詳細な手続や手順で
あり、「プロシージャ」とも呼ばれます。各スタンダードをより
具体化し、各部署において実際に運用するための手続や手順が記
述されます。
> イ アクセス制御
アクセス制御は、人的(管理的)セキュリティの観点からみると、
職務によるアクセス制御の定義、技術的(論理的)セキュリティの
観点からみると、ID、パスワードによる制御などの技術的なアクセ
ス制御が考えられます。
アクセス制御を適切に行うことにより、アクセス権限のない人に
よる誤り、盗難、不正行為、または設備の悪用のリスクに関して
一定の軽減が図れるとは思いますが、アクセス権限のある人に対
しては、情報セキュリティに関する意識を高める必要があります。
> ウ 秘密保持契約書への署名
人による誤り、盗難、不正行為、又は設備の悪用のリスクを軽減す
るために行う管理策として、秘密保持契約書への署名が考えられま
す。
秘密保持契約書に署名をさせることで、脅威の発生確率が抑えられ、
抑止効果が働きます。
> エ セキュリティが保たれた領域での作業
物理的及び環境的セキュリティです。
セキュリティが保たれた領域での作業行うことにより、人による誤
り、盗難、不正行為、または設備の悪用のリスクに関して一定の軽
減が図れるとは思いますが、作業者の情報セキュリティに関する意
識を高める必要があります。