問題本文
社員に対する情報セキュリティ教育の実施に関する記述a〜dのうち,適切なものだけを全て挙げたものはどれか。 a 情報セキュリティ違反をした者に対する再教育に当たっては,同じ過ちを繰り返さないための予防処置も含める。 b 新入社員に対する研修プログラムに組み込む。 c 対象は情報システム部門に所属する社員に限定する。 d 定期的な実施に加えて,情報セキュリティに関わる事件や事故が発生した後にも実施する。
選択肢
- ア.a, b, d
- イ.a, c, d
- ウ.a, d
- エ.b, c
解説
情報セキュリティ教育の実施に関する正誤判定問題. 適切な教育原則は(a)違反者への再教育では同じ過ち防止の予防処置を含める→正しい,(b)新入社員研修等で全社員に基本的な教育を行う→正しい,(c)情報セキュリティの知識・スキルに応じて社員を区分し画一的でない教育を行う→これも合理的だが選択肢解釈次第,(d)経営層も含めた全階層への教育を行う→正しい. 一般に新入社員・管理職・経営層など階層別の教育が必要で,違反者には予防教育,全社員には基本教育を確実に行う. 知識・スキル区分による教育の運用は組織方針による. 答えはア(a,b,d)で,cを除いた組合せが正解となる. 階層別と再発防止が鍵.
選択肢ごとの解説
- ア.正解. a(違反者再教育に予防処置を含める)・b(新入社員研修で基本教育)・d(経営層を含めた階層別教育)はいずれも情報セキュリティ教育の適切な実施例として正しい記述. cの「知識スキルで分けて一部のみ教育」は基本教育を全員に必須とする原則と合わない場合があり,a,b,dの3つが該当する組合せが正解.
- イ.誤り. a,c,dの組合せはcを含む点で本問の正解とずれる. cの解釈次第だが,「知識・スキルに応じて教育内容を変える」自体は合理的だが本問の設定では適切とされていない. 一方bが含まれていない点でも網羅性に欠け,新入社員への基本教育という重要要素を欠く組合せ.
- ウ.誤り. a,dだけでは新入社員研修(b)を除いており,組織のセキュリティ教育として基本となる新入社員への基本教育を欠く組合せとなる. bは適切な実施例として明確に含めるべきで,a,b,dの3つが正答の組合せとなるため,本選択肢では網羅性が不足する選択肢である.
- エ.誤り. b,cだけではaの再教育予防処置とdの経営層教育を欠き,本問が想定する適切な教育例の網羅性が不十分. 違反者再教育や経営層教育は組織全体のセキュリティ意識を向上させる重要施策で,これらを含まないb,cの組合せでは適切な教育例として不完全な選択肢となる.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問84