問題本文
社内の情報セキュリティ教育に関する記述のうち,適切なものはどれか。
選択肢
- ア.再教育は,情報システムを入れ替えたときだけ実施する。
- イ.新入社員へは,業務に慣れた後に実施する。
- ウ.対象は,情報資産にアクセスする社員だけにする。
- エ.内容は,社員の担当業務,役割及び責任に応じて変更する。
正解
エ. 内容は,社員の担当業務,役割及び責任に応じて変更する。
解説
正答はエ. 社内の情報セキュリティ教育は, 社員の担当業務・役割・責任に応じて内容を変更し最適化する必要がある. 一般社員・管理職・システム管理者・経営層では必要な知識・スキルが異なるため画一的教育は非効率. また再教育はシステム入替時だけでなく定期的・継続的に実施し, 新入社員には早期実施 (慣れる前に基本意識を植え付ける), 情報資産にアクセスする可能性のある全社員が対象 (役割に応じた範囲で) という考え方が適切. 役割別カスタマイズが効果的なセキュリティ教育の基本的なあり方である. 用語の定義と関
選択肢ごとの解説
- ア.再教育を情報システム入替時だけ実施するのは不十分で誤り. 脅威環境や法令は常に変化するため定期的かつ継続的な再教育が必要であり, システム入替の有無に関わらず最新動向を踏まえた教育を続けるべきである. 試験頻出概念で確実な理解が必要となる選択肢.
- イ.新入社員への教育は業務に慣れた後ではなく早期 (入社直後) に実施すべきで誤り. 業務に慣れる前に基本的なセキュリティ意識・ルールを植え付けることが情報漏えい等の初歩的ミス防止に重要であり順序が逆. 試験頻出概念で確実な理解が必要となる選択肢.
- ウ.教育対象を情報資産にアクセスする社員だけに限定するのは不十分. ソーシャルエンジニアリング等は資産にアクセスしない社員 (受付など) もターゲットになるため, 全社員に役割に応じた教育を実施すべきで誤り. 試験頻出概念で確実な理解が必要となる選択肢.
- エ.社員の担当業務・役割・責任に応じて教育内容を変更するのは情報セキュリティ教育の適切なあり方で正答. 一般社員・管理職・システム管理者・経営層など必要知識が異なるため役割別カスタマイズが効果的である. 試験頻出概念で確実な理解が必要となる選択肢.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問63